拒绝 API 在公网裸奔之实现过程

（先忽略 Https ）不想让 API 数据在公网中裸奔于是查了一些方案，比如：jwt des aes rsa 等，最终组合一个理想解决方案：Rsa+Aes; 客户端生成 Aes 密钥 将请求参数进行 Aes 加密,然后，Aes 密钥通过 Rsa 加密一并提交给服务器，服务器通过 Rsa 解密获得 Aes 密钥，进行 Aes 参数解密处理，最后通过解密后的 Aes 密钥加密返回给客户端，实现，公网传输加密。 ----------------------- 以下是精选回复-----------------------

答:这不就是自己实现了 https ？
答:所以为啥不用 https 呢
答:有种技术叫 HTTP 双向认证，了解一下？
答:加上证书验证差不多就是 HTTPS 了啊
答:jwt 和此处有什么关系……？
答:所以为什么不用 https ？？？
答:https api 除了抗重放以外还差什么吗
答:所以为什么不用 https+jwt
答:现在还有人分不清 Password 和 Encryption ？
答:你这和 HTTPS 有啥区别
答:重定义 HTTPS ？
答:有鬼用，没有证书验证是否服务器是服务器发出的公钥，第三人半路拦截就可以发一个他自己的公钥了。完全不可靠。
答:你的安全性不如 https，这种安全设计没法拿出手，即便模拟，建议先看看 https 握手都干了啥，为啥要 pre/master key, 等机制。建议不要自己造安全性不高的轮子，会让自己陷入误区的。检验思考的全面性要借助工具 STRIDE 模型。