В 2018 2019, https должен быть по умолчанию для любого API более http , поскольку безопасность данных всегда должна быть по проекту .
Мы не храним никакой конфиденциальной информации о пользователях, кроме: отображаемого имени, номеров достижений, списка друзей и т. Д.
Номера телефонов со списком друзей являются потенциально конфиденциальными данными.
В криптографии, центр сертификации или центр сертификации (CA)это организация, которая выдает цифровые сертификаты.Цифровой сертификат удостоверяет право собственности на открытый ключ по имени субъекта сертификата.Это позволяет другим (доверяющим сторонам) полагаться на подписи или утверждения, сделанные в отношении закрытого ключа, который соответствует сертифицированному открытому ключу.CA действует как доверенная третья сторона, которой доверяют как субъект (владелец) сертификата, так и сторона, полагающаяся на сертификат.(из Википедии)
Я думаю, что вам лучше получить сертификат SSL от одного из множества поставщиков, доступных в Интернете (AWS ACM, Cloudflare, ...), с использованием общедоступного CA.Это необходимо иметь в общедоступных службах, потому что вам нужно, чтобы каждый браузер / клиент мог распознать ваш сертификат https как действительный, и это делается путем проверки его знака по встроенному набору (общедоступных) данных CA.Обратите внимание, что это очень простое представление о реальном механизме безопасности https, поэтому, пожалуйста, поищите дополнительную информацию в Интернете.
Давайте зашифруем
Еще одно бесплатное решение - использовать Давайте зашифруем для создания бесплатного SSL-сертификата.Давайте зашифруем - это общедоступный центр сертификации, который предоставляет SSL-сертификаты бесплатно, и у вас есть множество инструментов для их автоматического управления.
Подробнее о безопасности REST
Предлагаю вам также проверить OWASP RESTШпаргалка по безопасности для получения более полезной информации о REST API.