有HTTPS只能做到傳輸內容加密，沒有簽名機制如何對通訊的雙方進行身份驗證呢，如何防範中間人攻擊？你找中介辦事都還需要發授權書進行驗證，傳輸資料當然更需要了！

https只是在資料傳輸的時候做了加密，不代表資料安全。簽名能驗證資料在傳輸過程中是否經過更改，安全性更高。

https加密解決的是機密性問題，防止資料洩露，簽名解決的是防抵賴和完整性問題，而且簽名校驗最好是雙向校驗，做不到雙向校驗也要有單向校驗加鑑權機制。

你發了一個增加工資1000的報文，我把你的報文重新發一遍，如果沒有處理，就會再增加工資1000，如果不斷髮，你會不會發財？

如果考慮樓主說的三點，HTTPS已經在驗證身份和資料加密層面完成了所有簽名本身的目的，如果說還要額外簽名更多的是業務應用層的考慮了，1. 伺服器要對所有請求進行記錄和審計，簽名可以方便記錄下來，HTTPS層一定要做也可以只是沒那麼方便；2. 可以分配不同的呼叫者身份id和金鑰，業務層方便對不同的呼叫者進行許可權控制，當然分配不同的客戶端證書也可以做，只是管理起來沒那麼方便.

其實簡單點理解，當驗證服務端是可信的，你客戶端怎麼讓服務端相信你傳的這個資料是不是可信的，而且沒有被中間攔截替換掉。所以要數字簽名啊，就是把你要傳的資料md5生成一段串，高速對方根據我的內容必定得到相同的串，以此證明資料沒有被篡改啊

一是因為有些網站在伺服器端不儲存使用者登入狀態，又不想每傳送一個請求都讓使用者輸入一次賬號密碼，所以使用者端需要一個簽名，證明使用者的合法身份。二是有些網站在使用者登入後，不想使用者下次登入還要輸入使用者名稱和密碼，就是我們常見的記住我功能，因此也需要在使用者端留有一個簽名，以證明使用者登入過了。