Существует понятие под названием «глубокоэшелонированная защита». Идея в том, что у вас все еще есть еще одна защита, даже если кто-то может сломаться. Недостатком, как всегда, является то, что вы должны платить за это производительностью.
Настоящий вопрос здесь заключается в следующем: доверяю ли я только SSL / TLS или я действительно хочу добавить еще один (прикладной) уровень безопасности, который служит еще одним препятствием, если кто-то посередине удается проникнуть внутрь мой канал SSL / TLS, даже если это будет стоить мне производительности?
Другим аспектом может быть то, что он может быть вынужден связываться по незащищенным каналам, т. Е. Когда нет доступного TLS. Помните, Thrift позволяет переключать транспорты по мере необходимости, а инфраструктура SSL / TLS доступна только в определенных случаях.
Если ответ положительный, сделайте это. Это был бы тот же ответ с REST, SOAP, XMLRPC, Avro, gRPC или известными птичьими перевозчиками .
Так что окончательный, решающий ответ, если вы должны это сделать, зависит от ваших приоритетов.
Также помните, что в вашем решении могут быть и другие векторы атак, которые, возможно, необходимо устранить.