SSL 已经提供了一种安全连接，可以保护客户端和服务器之间传输的数据。它确保机密性和完整性，并且确实为后者使用了HMAC 。如果您的安全模型是关于攻击者可能会在消息从客户端传输到服务器并返回时尝试更改消息，那么添加您自己的 HMAC 是多余且无用的。

然而，SSL 是纯粹的隧道。当数据到达目的地时，它停止行动。如果您的安全模型是关于可能修改存储在您服务器上的数据的攻击者，那么使用 SSL 传输此类数据这一事实对防御该攻击者没有任何帮助。在这种设置中，客户端和网络的实际存在是无关紧要的；这是存储问题，不是网络问题。HMAC 可能会有所帮助，但前提是攻击者无法学习 HMAC 密钥，这是一种限制性场景。

首先要问的真正重要的问题是：想象中的攻击者实际上可以做什么？