API 接口可以不使用 https 吗？

应该节省不了什么性能，另外 http 容易被运营商插广告等行为干扰

要是你自己实现一套 Forward Secrecy 的话我感觉性能不会比 https 低。

性能占用*

公司内网之间服务调用完全可以不用 https

既然是 aes 加密了，那客户端肯定是有秘钥进行解密的。 只要别人破解了你的客户端代码。 不就可以进行中间人攻击了？

能节约多少性能？

看你怎么实现的，如果是通过 http 传密钥的话那不安全，把密钥写死在客户端会安全一点，但也不完全安全。
至于性能我估计省不了多少。

可以。不过对称加密密钥固定，建议再参考 HTTPS 实现一个密钥交换的过程。doge

微信：我觉得可以

可以，但目的并非是节省那点性能

可以的。微信用 http ，不是 https ，自己做的加密。
但是，AES 是对称加密，单用 AES 是不够的。需要 RSA+AES 或者 ECC+AES 。

API 性能差不一定怪 HTTPS ，建议检查一下全链路 MTU 呢
狗头保命

@coderxy 这是致命问题，还是老老实实用 https 吧

根本无法节省性能，最多只能节省协商密钥那一步的开销而已（这一步使用的是非对成加密）

试试重放

可以，甚至可以学习微信的 mmtls 是如何做的。


基于 TLS1.3 的微信安全通信协议 mmtls 介绍

https://github.com/WeMobileDev/article/blob/master/%E5%9F%BA%E4%BA%8ETLS1.3%E7%9A%84%E5%BE%AE%E4%BF%A1%E5%AE%89%E5%85%A8%E9%80%9A%E4%BF%A1%E5%8D%8F%E8%AE%AEmmtls%E4%BB%8B%E7%BB%8D.md