java - 何时不使用两种方式的 SSL 认证验证

这与Java无关。并且高度取决于贵公司的安全策略。

如果客户信息在公司内部是公开的，则根本不需要身份验证。如果不是公开的，则需要身份验证。（因此您的后端可以检查用户是否有权查看该信息）

通常，贵公司会根据其机密性分类规定访问信息所需的安全等级。

更新我想到的几个原因（使用或不使用 SSL）

不使用 SSL 的唯一原因（例如“强烈尝试避免它”）是

• 如果您有一个高度依赖速度（实时）的通信，并且希望不惜一切代价避免这种开销

使用它的理由（现在你应该至少使用 HTTPS）

• 这样，浏览器就知道它在和谁说话（避免中间人）
• 这样传输就被加密了（有人可能在线上安装了监听器）

使用身份验证和检查用户是否被授权的原因：

• 将来，数据分类可能会发生变化（例如，并非所有员工都可以看到该数据）=> 届时无需更改应用程序，只需更改权限分配。

PS：再补充一件事：

• 身份验证方法（基本与客户端证书与其他方法）仍将取决于用例和机密性分类