简单列一下不同协议,序列化方式等的考虑。
http还是私有协议?
http协议优/缺点:
在服务器端只需要提供一份接口,浏览器和app共用。在app中嵌入web view也很容易。
http协议的相关工具非常多。开发人员很方便 。比如负载均衡,直接nginx搞定。
比如统计一个接口的调用次数,相当的方便,有现在的分析工具。
压力测试也很方便。
http协议可能http服务器有漏洞,但是这种漏洞真的是很少。
手机可以设置http proxy,这对于某些用户可能是很关键的。如果是私有协议,设置http proxy就无效了。
私有协议优/缺点:
比较复杂,可以自己做一层加密。
逆向有成本,攻击者可能会放弃。
不同语言,每个平台都要开发一套,耗时耗人力。
自己实现的协议有可能有漏洞,要防范恶意攻击。
节省流量。
wmwap下可能要http tunnel。
序列化方式选择,JSON或者protobuf等?
JSON:
通用的数据交换格式,开发人员很熟悉,很三方的工具类库很多。
数据体积比较大。
没有版本化,前后端需要一定的沟通成本。
xml:
体积大,在http服务里,属于被抛弃的格式。
protobuf/thrift:
版本升级很容易,基本没有负担。
体积小。
通迅协议没有官方标准,第三方实现可能比较混乱。
如果是用工具生成的代码,基本不会有序列化的漏洞。
据说微信用的是protobuf。
其它的的序列化方式,或者自己定制的序列化方式:
可能遇到序列化的bug;
多语言支持的问题;
序列化的漏洞问题;
如何应对cmwap?
貌似cmwap的用户还是不少的。
http://s.weibo.com/weibo/cmwap
微信貌似是支持cmwap的:
http://weixin.qq.com/cgi-bin/readtemplate?promote=2&nav=contact&t=weixin_faq_networkflow
http://www.zhihu.com/question/19796744 一个11年的cmwap和cmnet的用户比例的东东。
如果是自己定制的协议,可以要做一下http tunnel,即一开始时,发送一个http头来欺骗移动的网关。
TODO:网上有一些cmwap http tunnel的文章,从理论上应该是可行的。
http还是https?
安全性的考虑:
https比http要安全。
对于app,很大的一个安全威胁是伪造wifi热点,http很容易被抓包。
尽管OpenSSL漏洞让人们意识到https也不是那么的安全。但对于绝大部分人来说,https还是很安全的,因为攻击成功很高。
但是即使https也不是那么的安全,参考:流量劫持能有多大危害?
https要比http慢;
证书的费用;
部署的问题,证书要放到CDN上,不然拿不到用户的真实IP;
看到过一个数据,在中国有20%的地区的无线用户用https是连不上的(真实性,技术性未知)。
全站https还是部分https?
https开发比http要复杂;
总结:
人个认为,对于绝大部分的app,http协议+JSON格式是比较好的选择。
因为这是最容易维护开发的,成本也比较低。
