Это не имеет ничего общего с Java. И сильно зависит от политики безопасности вашей компании.
Если информация о клиентах является общедоступной внутри компании, вам вообще не требуется аутентификация. Если это не публично, вам нужна аутентификация. (Таким образом, ваш сервер может проверить, авторизован ли пользователь видеть эту информацию или нет)
Обычно ваша компания назначает уровень безопасности, необходимый для доступа к информации, в зависимости от ее классификации конфиденциальности.
ОБНОВЛЕНИЕ несколько причин, которые приходят на ум (для использования или не использования SSL)
единственная причина НЕ использовать SSL (например, «сильно стараться избегать его») -
- если у вас высокоскоростная связь (в режиме реального времени) и вы хотите избежать этих затрат любой ценой
причин для его использования (в настоящее время вы должны ВСЕГДА использовать хотя бы HTTPS)
- таким образом, браузер знает, с кем он общается (избегая человека в середине)
- таким образом транспорт зашифрован (возможно, кто-то установил прослушиватели на линии)
причины использования аутентификации и проверки, авторизован ли пользователь:
- в будущем может произойти изменение в классификации данных (например, не всем сотрудникам будет разрешено просматривать эти данные) => вместо изменения приложения потребуется изменить только назначение разрешений.
PS: добавление еще одной вещи:
- Методы аутентификации (базовый по сравнению с сертификатом на стороне клиента и по сравнению с другими методами) будут по-прежнему зависеть от варианта использования и классификации конфиденциальности