@ohwind 前端数据加密的密钥不就是代码里写着的吗，或者是从某些接口可以获取到，只要分析代码就可以做的伪装客户端，最多是使用非对称加密，可以保证中间人无法伪装成后端来欺骗前端，然而 https + 可信 ca 基本上就已经完全防护了中间人了。

在使用 https 的情况下，个人对于前端加密是觉得属于脱裤子放屁，但搞支付保险等涉及大钱的东西的时候，合规部门或者等保认证要求加就加呗。

安全评分从 90 变成了 93 对我而言是觉得做与不做差距不大，后端部分属于那 90 分，要么不扣要么直接-90 ，如果后端被破了，那有你这 1 分还是没有都无所谓，所以 最后得分是 90 、93 还是 0 、3 ，这其中的 3 分的部分重要么。

你可以理解成跑在 jvm 上的 python ，是运行在 jvm 上的一个新语言，和 scala 、kotlin 一样。


spring 本身和它没啥大关系，但构建工具迁移到了 gradle ，而 gradle 是用 groovy 写配置和插件的，说是因为这个脚本语言使用起来便捷。

类比的话，npm 用 js 写配置和插件，maven 用 xml 写配置、用 java 写插件，gradle 用 groovy 写配置和插件。
并且由于 groovy 运行在 jvm 上所以 java 写的插件类库啥的也可以调用。

谢谢