為什么阿里云等的API設計那么復雜啊？

保護用戶數(shù)據(jù)安全。之前嘗試調(diào)用淘寶的接口，發(fā)現(xiàn)好多token,好多重定向，一點數(shù)據(jù)都拿不到，最后走淘寶開放平臺的接口拿的數(shù)據(jù)。

因為就算是 HTTPS 請求也很有可能暴露請求，直接在參數(shù)里帶上 key 的話，暴露請求就暴露 key 了，別人拿到 key 立刻就可以冒充你了。

采用參數(shù)簽名的方法，就算暴露請求也沒事，因為參數(shù)一改簽名就失效了。這么做，黑客要想冒充你，必須要拿到你的文件權(quán)限。黑客工作難度呈指數(shù)級增長。

像聚合數(shù)據(jù)那樣搞API，只有一個key，還不能改，其實非常弱智。

要說惡心，還得是微信。論惡心，我只服微信。