1.Http與Https的區(qū)別
1、https協(xié)議需要到ca申請(qǐng)證書(shū)缕坎,一般免費(fèi)證書(shū)較少怖侦,因而需要一定費(fèi)用。
2、http是超文本傳輸協(xié)議础钠,信息是明文傳輸恰力,https則是具有安全性的ssl加密傳輸協(xié)議。
3旗吁、http和https使用的是完全不同的連接方式踩萎,用的端口也不一樣,前者是80很钓,后者是443香府。
4、http的連接很簡(jiǎn)單码倦,是無(wú)狀態(tài)的企孩;HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議袁稽,比http協(xié)議安全勿璃。
一、HTTP和HTTPS的基本概念
HTTP:是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議推汽,是一個(gè)客戶(hù)端和服務(wù)器端請(qǐng)求和應(yīng)答的標(biāo)準(zhǔn)(TCP)补疑,用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議,它可以使瀏覽器更加高效歹撒,使網(wǎng)絡(luò)傳輸減少莲组。
HTTPS:是以安全為目標(biāo)的HTTP通道,簡(jiǎn)單講是HTTP的安全版暖夭,即HTTP下加入SSL層锹杈,HTTPS的安全基礎(chǔ)是SSL,因此加密的詳細(xì)內(nèi)容就需要SSL迈着。
HTTPS協(xié)議的主要作用可以分為兩種:一種是建立一個(gè)信息安全通道竭望,來(lái)保證數(shù)據(jù)傳輸?shù)陌踩涣硪环N就是確認(rèn)網(wǎng)站的真實(shí)性裕菠。
二?市框、HTTP和HTTPS的主要特點(diǎn)和工作流程
HTTP特點(diǎn)
1.支持客戶(hù)/服務(wù)器模式。(C/S模式)
2.簡(jiǎn)單快速:客戶(hù)向服務(wù)器請(qǐng)求服務(wù)時(shí)糕韧,只需傳送請(qǐng)求方法和路徑枫振。請(qǐng)求方法常用的有GET、HEAD萤彩、POST粪滤。每種方法規(guī)定了客戶(hù)與服務(wù)器聯(lián)系的類(lèi)型不同。由于HTTP協(xié)議簡(jiǎn)單雀扶,使得HTTP服務(wù)器的程序規(guī)模小杖小,因而通信速度很快肆汹。
3.靈活:HTTP允許傳輸任意類(lèi)型的數(shù)據(jù)對(duì)象。正在傳輸?shù)念?lèi)型由Content-Type加以標(biāo)記予权。
4.無(wú)連接:無(wú)連接的含義是限制每次連接只處理一個(gè)請(qǐng)求昂勉。服務(wù)器處理完客戶(hù)的請(qǐng)求,并收到客戶(hù)的應(yīng)答后扫腺,即斷開(kāi)連接岗照。采用這種方式可以節(jié)省傳輸時(shí)間。
5.無(wú)狀態(tài):HTTP協(xié)議是無(wú)狀態(tài)協(xié)議笆环。無(wú)狀態(tài)是指協(xié)議對(duì)于事務(wù)處理沒(méi)有記憶能力攒至。缺少狀態(tài)意味著如果后續(xù)處理需要前面的信息,則它必須重傳躁劣,這樣可能導(dǎo)致每次連接傳送的數(shù)據(jù)量增大迫吐。另一方面,在服務(wù)器不需要先前信息時(shí)它的應(yīng)答就較快
HTTP工作流程
第一步:建立TCP/IP連接账忘,客戶(hù)端與服務(wù)器通過(guò)Socket三次握手進(jìn)行連接
第二步:客戶(hù)端向服務(wù)端發(fā)起HTTP請(qǐng)求(例如:POST/login.html http/1.1)
第三步:客戶(hù)端發(fā)送請(qǐng)求頭信息志膀,請(qǐng)求內(nèi)容,最后會(huì)發(fā)送一空白行鳖擒,標(biāo)示客戶(hù)端請(qǐng)求完畢
第四步:服務(wù)器做出應(yīng)答梧却,表示對(duì)于客戶(hù)端請(qǐng)求的應(yīng)答,例如:HTTP/1.1 200 OK
第五步:服務(wù)器向客戶(hù)端發(fā)送應(yīng)答頭信息
第六步:服務(wù)器向客戶(hù)端發(fā)送請(qǐng)求頭信息后败去,也會(huì)發(fā)送一空白行,標(biāo)示應(yīng)答頭信息發(fā)送完畢烈拒,接著就以Content-type要求的數(shù)據(jù)格式發(fā)送數(shù)據(jù)給客戶(hù)端
第七步:服務(wù)端關(guān)閉TCP連接圆裕,如果服務(wù)器或者客戶(hù)端增Connection:keep-alive就表示客戶(hù)端與服務(wù)器端繼續(xù)保存連接,在下次請(qǐng)求時(shí)可以繼續(xù)使用這次的連接
HTTPS特點(diǎn)
HTTPS是HTTP協(xié)議的修改荆几,它加密數(shù)據(jù)并確保其機(jī)密性吓妆。其配置可保護(hù)用戶(hù)在與網(wǎng)站交互時(shí)免于竊取個(gè)人信息和計(jì)費(fèi)數(shù)據(jù)。
1吨铸、優(yōu)點(diǎn)
相比于http行拢,https可以提供更加優(yōu)質(zhì)保密的信息,保證了用戶(hù)數(shù)據(jù)的安全性诞吱,此外https同時(shí)也一定程度上保護(hù)了服務(wù)端舟奠,使用惡意攻擊和偽裝數(shù)據(jù)的成本大大提高。
2房维、缺點(diǎn)
缺點(diǎn)也同樣很明顯沼瘫,第一https的技術(shù)門(mén)檻較高,多數(shù)個(gè)人或者私人網(wǎng)站難以支撐咙俩,CA機(jī)構(gòu)頒發(fā)的證書(shū)都是需要年費(fèi)的耿戚,此外對(duì)接Https協(xié)議也需要額外的技術(shù)支持;其二,目前來(lái)說(shuō)大多數(shù)網(wǎng)站并不關(guān)心數(shù)據(jù)的安全性和保密性膜蛔,其https最大的優(yōu)點(diǎn)對(duì)它來(lái)說(shuō)并不適用坛猪;其三,https加重了服務(wù)端的負(fù)擔(dān)皂股,相比于http其需要更多的資源來(lái)支撐墅茉,同時(shí)也降低了用戶(hù)的訪問(wèn)速度;第四屑墨,目前來(lái)說(shuō)Http網(wǎng)站仍然大規(guī)模使用躁锁,在瀏覽器側(cè)也沒(méi)有特別大的差別,很多用戶(hù)不關(guān)心的話(huà)根本不感知卵史。
HTTPS工作流程
第一步:客戶(hù)使用https的URL訪問(wèn)Web服務(wù)器战转,要求與Web服務(wù)器建立SSL連接。
第二步:Web服務(wù)器收到客戶(hù)端請(qǐng)求后以躯,會(huì)將網(wǎng)站的證書(shū)信息(證書(shū)中包含公鑰)傳送一份給客戶(hù)端槐秧。
第三步:客戶(hù)端的瀏覽器與Web服務(wù)器開(kāi)始協(xié)商SSL連接的安全等級(jí),也就是信息加密的等級(jí)忧设。
第四步:客戶(hù)端的瀏覽器根據(jù)雙方同意的安全等級(jí)刁标,建立會(huì)話(huà)密鑰,然后利用網(wǎng)站的公鑰將會(huì)話(huà)密鑰加密址晕,并傳送給網(wǎng)站膀懈。
第五步:Web服務(wù)器利用自己的私鑰解密出會(huì)話(huà)密鑰。
第六步:Web服務(wù)器利用會(huì)話(huà)密鑰加密與客戶(hù)端之間的通信谨垃。
最后說(shuō)一句 启搂,ssl證書(shū)阿里云上可以免費(fèi)申請(qǐng)一年
