@dzdh "如果一个密码公开发放，那的确没有必要性。"

密码怎么可能公开？举个例子，微信支付的 url 签名 hash 算法是 HMAC, 也就是需要 key 才能使用的 HASH 算法。这个 key 是严格保密的，外人肯定不会随便知道。

@dzdh "所以，『纯技术』上，在有 HTTPS 保护的前提下，签名没有『必要性』"

那是自然，只要 PC 机器能 [物理隔绝] ，使用时只有机主一个人能进入密室访问电脑，那 windows 登录密码也没有存在的 [必要性] 。

有 TX 大牛发过 PPT 分享过，统计验证了几万个页面，平均前端页面有 60%左右，是可以无代码低成本复用的。

@dzdh "所以是，仅仅 HTTPS 已经足够安全，所谓签名只是锦上添花？"

光"锦上添花"就很重要，支付 API 设计能强过竞争对手，才能抢到足够的市场份额。

你开发一个 HTTPS 网站，去做网站安全评级，每一个服务器设置的细节，都是打分点。
你开启一个云服务器站点，服务器平均无故障就是一大卖点，数 99.99 小数点之后有几个 9，就能比同行抢到更多的用户。

支付签名设计也是一样，能给 API 安全打分后面加个 9，何乐而不为。

@dream4ever 一个新 idea，也是产品很重要的卖点，都被同行抄去了，这就叫恶性竞争了吧。
就好比 TX 公司，你把别人的路都走完了，让小公司无路可走。

@abersheeran “我觉得可能现在还这么做的大厂，惯性更多一点吧，毕竟代码已经写好了，可以跑了，改设计，没必要。”

为了支付系统上出 BUG 可以甩锅，小码农根本赔不起。“看，API 设计够好了，还有签名！”

"所有人的质疑是否代表着 Stripe 和 Paypal 现在是极度危险状态？"

你用国外网站举例没意义，国外信用卡支付没密码是安全的，放国内基本不可能。

同理国外电子支付没有签名是安全的，国内设计的 API 没签名？想都别想，和钱有关的，必须加码，管他有没有用。

这和软件加壳一个道理，你不知道破解者的能力和权限（说不定就是你隔壁同事），越套一层防范，单纯从理论上来说，就能阻断一部分破解者的尝试，也就变相代表着越安全。

就安全系数来说，有签名的 API 和没签名的 API PK 一下，有签名的得分高。光刷公司的 KPI，也必须加。

@hxndg
"那东西叫做公钥钉扎，防备中间人，已经废除了。"
不不，楼主说的是 Server to Server 上的 PubKey 验证，就是直接在 TLS 握手阶段，读取证书里的 pubkey，看是不是和数据库里的一致，服务器要额外写一些入侵式代码。

你说的废除，只是 chrome 浏览器里定下的规范。楼主这里没有浏览器的参与。

"Pinned Pub Key 还怎么中间人呢？防止客户的什么呢？"

能做到这种验证毕竟是少数，大部分服务器就校验了一下对方 CERT 有效性，因为 CERT 会过期，客户定期会换，你又没办法一直保证服务器存有对方最新的 KEY 和 CERT 来校验。

而且我看所有有钱有关的网络支付，都带签名。

这其实和数据库是不是存用户明文密码是同一个问题：反正用户又看不到服务器上具体有什么，不存 hash，直接存明文是不是一样的？（学一下楼主额外描述：服务器不可能被攻破，因此黑客攻击不在考虑范围内）

典型互联网小公司产品的悲哀，和免费 VSCODE 功能高度重叠，头部通吃效应显现，逐渐被边缘化了。
很多原创编辑小技巧都是 sublime 和 atom 发明的，结果被抄袭者收割，也是惨。

@Jirajine 倒不是为了加页面特效，用大象来举例，只是说明只用 chrome 原生功能，覆盖一个 css/js/接口是如此简单。甚至连普通的 ajax 请求都能给覆盖掉。
chrome 早期版本没有，后来加上后，很多人不知道，我也是最近才知道。

挺好的，路过支持一下。
写代码和写文章一样，是为了让别人看懂，不是写一堆复杂代码自己一个人嗨。楼主这个一眼就能懂，这点就很赞。
谁都是新手阶段过来的，唯有才能笑到最后，楼主加油。

@Girlphobia V2 这都有吗？太高端了。赞一个。

罗技的无极滚轮很赞，就是没性价比，好贵。