TLS 是否必須同時提供機密性和真實性？

我正在開發一個使用 OAuth 的項目。在 OAuth RFC 中，它多次表示身份驗證伺服器和客戶端之間的通信應該使用 TLS。但是，在我正在查看的使用 OAuth 的項目中，他們說他們使用的通道僅經過身份驗證，而不是機密。在這裡查看 TLS 標籤時，它表示 TLS 既是機密又是經過身份驗證的。但是在查看 wiki 時，它看起來可能是或者？有人可以澄清 TLS 是否可以在不提供機密性的情況下提供真實性嗎？

TLS只能提供真實性而不提供機密性。

為此，您需要使用*_WITH_NULL_*密碼套件。大多數庫預設禁用它們。

但是，我強烈建議不要使用它們。

使用加密時你真的沒有什麼可失去的，如果你不這樣做，可能會有隱私問題。

引用自：https://crypto.stackexchange.com/questions/33190