近期查看邮件的时候发现华为开发者联盟发的一封邮件，大致意思就是出于安全考虑，将于2023年10月1日全面限制应用内支付服务使用HTTP回调地址了。

众所周知HTTP协议以明文方式发送内容，不提供任何方式的数据加密。因此它不适合传输一些敏感信息，典型的支付场景就属于敏感信息。 https则是具有安全性的ssl加密传输协议。http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。并且https协议需要到ca申请证书。 HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全。

现在很多网站都是用https了，即使不涉及敏感信息，也在用https了。根据邮件看来，目前还存在少量的开发者以及其所属公司还在使用http，并且还是在支付场景。。。这类公司一般都是一些小厂，或者一些小众app，或者是别有企图的公司在恶意使用吧。

大家还是小心为上，既然在华为应用中存在此类情况，小米、OV等，也极可能有类似的情况，大家自己小心为上，尽量或者不要在一些非知名app内进行支付。

信函具体内容如下：

尊敬的开发者，您好！

为共建良好的网络生态环境，给用户提供更加安全可靠的使用体验，应用内支付服务将限制使用不安全的HTTP回调地址，以满足安全需要。

出于安全考虑，将于2023年10月1日全面限制HTTP类型回调地址的使用。

如您的应用在使用应用内支付服务时使用了HTTP类型的回调地址，请您及时切换到HTTPS类型的回调地址，避免因HTTP回调地址被限制影响您无法正常收到支付结果回调通知。

如下两处的回调地址将受影响：

1、pay 、productPay接口请求参数中的url字段值是否为http:// 开头，若是则需要修改为HTTPS类型。

2、检查开发者联盟上的回调地址配置。

步骤1：用华为开发者帐号登录“华为开发者联盟”，点击右上角“管理中心”，进入管理中心。

步骤2：点击页面左侧“应用服务”，进入“开发服务”下的“支付”页面。

步骤3：检查各个产品的回调地址配置是否为http:// 开头，若是则需要修改为HTTPS类型。

如有疑问可通过在线提单方式咨询，感谢您的支持！

华为开发者联盟

2023年5月26日

信函内容截图如下：