正确：Web 客户端正在建立与电话的安全连接。您通过 WhatsApp Web 发送的消息由 WebClient 加密，由手机解密，然后重新加密以适应端到端方案，然后发送给收件人。反过来也是一样。

我不知道协议的细节，但这是我怀疑的（或者我将如何实现它）：

• 首次打开 WhatsApp Web 时，会生成用于非对称加密/签名的密钥对（并存储在浏览器的本地存储中。可能是 RSA 或 ECC。
• 扫描二维码交换所述密钥对公钥的指纹。这在手机和浏览器安装之间建立了信任：用户扫描二维码这一事实意味着用户信任浏览器。
• 当要使用 WhatsApp Web 时，会建立与手机的 TLS 连接（可能由 WhatsApp 代理以克服防火墙和 NAT 问题）。WhatsApp Web 使用最初生成的密钥对对手机进行身份验证（因此依赖于之前建立的信任）。
  • 浏览器和手机之间的连接是完全合格的 TLS：包括身份验证和 PFS。