【JavaEE】HTTPS

已于 2024-05-29 23:39:17 修改
阅读量688 收藏 7
点赞数 18
分类专栏: JavaEE 文章标签: java-ee servlet java
于 2024-05-15 19:31:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79765510/article/details/138919528
版权

文章目录

一、HTTPS是什么

HTTPS也是一个应用层协议,是在HTTP协议的基础上引入了一个加密层。
HTTP协议内容是按照文本的方式明文传输的,这就导致传输过程中出现一些被篡改的情况。

臭名昭著的 “运营商劫持”

下载一个 天天动听
未被劫持的效果, 点击下载按钮, 就会弹出天天动听的下载链接.

已被劫持的效果, 点击下载按钮, 就会弹出 QQ 浏览器的下载链接

例如:在浏览器上下载软件,相信很多同学都经历过在浏览器上面下载东西但是下载的却不是自己想要下载的,下载下来却变成了其他的软件,这就是传输内容被篡改了。

由于我们通过网络传输的任何数据包都会经过运营商的网络设备(路由器,交换机等),那么运营商的网络设备就可以解析我们的传输内容,并进行篡改。

点击下载天天动听,就是给服务器发送一个 HTTP 请求,获取到的HTTP响应包含了改APP的下载地址,运营商劫持后发现这个响应是下载天天动听,自动将返回给用户的响应篡改成QQ浏览器的下载地址。


不止运营商,黑客也可以用类似的手段来获取用户信息,或者篡改内容,如果用户的账户信息甚至支付密码,所以,在互联网上,明文传输是很危险的事情。

HTTPS 就是在HTTP的基础上进行了加密操作,来进一步保护用户的信息安全。

二、“加密” 是什么

加密 就是把明文(传输内容)进行一系列的变换,转换成密文,
解密 就是把密文进行一系列的变换,转换成明文。
在加密和解密的过程中,需要一个或多个中间数据,辅助进行这个过程,这样的数据被称为密钥(yue)。

加密解密到如今已经发展成一个独立的学科:密码学,而密码学的奠基人,也正是计算机科学的祖师爷之一,艾伦·麦席森·图灵。

三、HTTPS 的工作过程

既然要保证数据安全,那就要进行 “加密”,
网络传输中不再直接使用明文,而是使用加密之后的 “密文”,
加密的方式有很多,但总得来说分为两大类:对称加密非对称加密

1、对称加密

对称加密就是通过同一个 “密钥”,把明文加密成密文,也能把密文解密成明文。

一个简单的对称加密, 按位异或
假设 明文 a = 1234, 密钥 key = 8888
则加密 a ^ key 得到的密文 b 为 9834.
然后针对密文 9834 再次进行运算 b ^ key, 得到的就是原来的明文 1234.
(对于字符串的对称加密也是同理, 每一个字符都可以表示成一个数字)
当然, 按位异或只是最简单的对称加密. HTTPS 中并不是使用按位异或.


引入对称加密之后, 即使数据被截获, 由于黑客不知道密钥是啥, 因此就无法进行解密, 也就不知道请求的真实内容是啥了。

但是,服务器同一时间给很多客户端提供服务,每个人的密钥都是不相同(如果一样,那么密钥很容易扩散,黑客也能拿到),因此服务器需要维护每个客户端和每个密钥之间的关联关系,这是一个很庞大的工程。

比较理想的做法是,在客户端和服务器建立连接的时候,双方协商好这次的密钥。

但是如果密钥也进行明文传输的话,那么黑客也能获取密钥并对传输内容进行解密,所以密钥的传输也需要进行加密。想要对密钥进行加密,双方仍旧需要约定一个密钥,但是这就形成了套娃过程,传输内容需要加密,密钥需要加密,密钥的密钥又需要加密…此时密钥的传输用对称加密就行不通了~

此时需要引入非对称加密。

2、非对称加密

非对称加密需要两个密钥:“公钥” 和 “私钥”
公钥和私钥是配对的,最大的缺点是:运算速度非常慢,比对称加密慢得多

加密方式1:

  • 通过公钥对明文进行加密,变成密文
  • 通过私钥对明文进行解密,变成明文

加密方式2:

  • 通过私钥对明文进行加密,变成密文
  • 通过公钥对明文进行解密,变成明文

公钥谁都可以持有,不怕泄密,但是私钥只有服务器可以有,只有持有私钥的人才可以解密。

  1. 客户端生产对称密钥,通过公钥进行加密传输,发送给服务器
  2. 由于中间设备没有私钥,即使截获到加密的对称密钥也不知道里面的对称密钥是什么
  3. 服务器通过私钥对加密的对称密钥进行解密,获取到对称密钥,并且使用这个对称密钥加密给客户端返回响应数据。此时知道对称密钥的只有客户端和服务器两个设备,中间设备不知道对称密钥。
  4. 后续客户端和服务器的通信就只用对称密钥就好了,由于改对称密钥只有客户端和服务器两个设备知道,其他设备不知道密钥即使截获也不知道加密内容是什么。

由于对称加密的速度比非对称加密的速度快得多,所以一般只在开始阶段协商密钥的加密使用非对称加密,后续传输都使用对称加密。

那么接下来问题又来了:
1、客户端如何获取到公钥?
2、客户端如何确定这个公钥不是黑客伪造的?

3、证书

在客户端-服务器刚建立连接的时候,服务器就给客户端返回一个证书
证书里面包含公钥,也包含了网站的身份信息。

4、完整过程

左侧为客户端做的事情,右侧是服务器做的事情。

四、总结

HTTPS 工作过程中涉及三组密钥:

frost-cold
关注
  • 18
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JavaEE全套API
10-21
JavaEE全套API W3CSchool.chm bootstrap3中文文档 Cascading Style Sheet 样式表中文手册 HtmlHelp.chm dom4j.chm JQuery.chm HTTP1.1.chm ajax.chm XPathTutorial.chm XML指南.chm xsd.chm DTD.chm 正则表达式 ...
Javaee --- 学生成绩管理系统
12-09
6. **安全机制**:使用HTTPS协议保障数据传输安全,使用session和cookie进行用户会话管理。 **开发流程** 1. 需求分析:明确系统功能和用户需求。 2. 设计:数据库设计,系统架构设计,界面设计。 3. 编码:使用...
JavaEEHTTPS
热门推荐
哒哒的博客
11-19 1万+
JavaEEHTTPS
JAVAEE
m0_57321930的博客
04-19 996
目录 JavaEE概述 应用模式演化 1.单机应用 2.C/S应用 3.B/S应用(主流) 4.云应用 JavaEE多层架构 概述 表现层 业务层 持久层 JavaEE技术框架 1.组件技术 2.服务技术 3.通信技术 JavaEE编程原理 1.编程思想 2.应用部署 JavaEE应用开发演化 概述 1.原始阶段 2.模型阶段 3.框架阶段 小结 JSP技术与MV模式开发 Java Web应用概述 基本概念 Java Web应用体系结构 EL与JST
JavaEE
u013617791的专栏
07-11 1876
什么是MVC 组成结构 Model View Controller 特点 优点 缺点 产生原因 什么是MVC MVC是一种软件架构模式,把软件系统分为三个部分,即Model(模型)、View(视图)和Controller(控制)。 组成结构 Model 最底下的一层,是核心的”数据层”(Model),也就是程序需要操作的数据或信息。 目的是实现一种动态的程...
JavaEE面试
qq_42333801的博客
09-17 218
JavaEE面试Tomcat jsp servlet新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 To...
JAVAEE学习历程
kinghuahua
12-18 268
安装JDK JRE https://blog.csdn.net/qq_36554582/article/details/81814096 安装tomact7 https://www.cnblogs.com/GaoNa/p/9351926.html https://tomcat.apache.org/download-70.cgi 教程 https://www.imooc.com/video/287...
javaEE课程设计
06-04
在实际的课程设计中,你可能还需要关注其他方面,如安全性(如使用HTTPS,Spring Security等)、性能优化(例如缓存策略、数据库索引等)、测试(单元测试、集成测试)、版本控制(Git等),以及项目构建和部署工具...
Javaee支付案例
06-27
- **数据加密**:在处理支付信息时,用户的敏感信息(如银行卡号、密码)必须进行加密传输,可以使用HTTPS协议和SSL证书来保障通信安全。 - **异常处理**:对可能出现的各种异常情况进行预见和处理,如网络中断、...
javaee论坛源码
05-16
例如,使用预编译的SQL语句,对输入进行过滤和转义,以及启用HTTPS加密通信。 8. **缓存策略**:为了优化性能,论坛可能会使用缓存技术(如Redis或 Ehcache)来存储频繁访问的数据,如热门话题或用户信息,减少...
JavaEE】Executors中常见线程池工厂方法及其使用
p_fly的博客
07-19 729
本文将介绍Executors中常见一些工厂方法。Executors中的工厂方法其实就是对ThreadPoolExecutor的封装,方便使用。
JavaEE (1)
2301_78085386的博客
07-19 966
Servlet是Server Applet的简称,意思为用Java编写的服务器端的程序. 它运行在web服务器中,web服务器负责Servlet和客户的通信以及调用 Servlet方法。● Servlet的作用: 1.接收用户发送的请求数据 2.调用其他的java程序来处理请求 3.根据处理结果,将结果响应给客户端● 1.创建一个类继承javax.servlet.http包下的HttpServlet● 2.在web.xml文件中配置Servlet
JavaEE-多线程背景-线程等待-线程的六种状态-线程安全问题-详解】
2301_76249062的博客
07-18 839
JavaEE-多线程概念详解-线程安全问题-线程的六种状态
推荐一款使用Java EE技术栈的企业应用定制化开发平台(带源码)
m0_68103752的博客
07-17 1069
在数字化转型的浪潮中,企业面临着多样化的信息系统建设需求。现有的软件系统往往存在定制化程度低、开发周期长、成-本高等问题。此外,随着企业规模的扩大和业务的复杂化,传统的软件系统难以满足灵活多变的业务需求。
JavaEE】volatile + final + wait-notify + join + park-unpark 相关原理
p_fly的博客
07-18 1014
本文所讲的一些原理都是在多线程中经常使用的内容。
JavaEE】-- 网络编程基础概念(详解)
明志の博客
07-17 1147
协议分层,也就是上述类似的效果,把很多协议,按照功能分成不同的层级,每个层级都有对应的主线任务(目标/要解决的问题)上层协议会调用下层协议的功能,下层协议会给上层协议提供服务(不能够“越级调用)
JavaEE和前端交互(细节)
最新发布
2301_78085386的博客
07-21 540
1.JavaEE需配置服务器tomcat2.做好包管理和包命名 便于迅速找到和分辨出相应的类,一般包会用到。
javaEE (3)
2301_78085386的博客
07-19 745
从一个客户打开浏览器并连接到服务器开始,到客户关闭浏览器离开这个服务 器结束,被称为一个会话。Base64就是一种基于64个可打印字符来表示二进制数据的方法,在网络上最常见的用于传输8Bit字节码的编码方式之一;网络传送渠道并不支持所有的字节,例如传统的邮件只支持可见字符的传送,像ASCII码的控制字符就 不能通过邮件传送;这样用途就受到了很大的限制,比如图片二进制流的每个字节不可能全部是可见字符,所以就传送不了;最好的方法就是在不改变传统协议的情 况下,做一种扩展方案来支持二进制文件的传送。
JavaEE--JavaWeb服务器的安装配置(Tomcat服务器安装配置)
Dreamkidya的博客
07-17 331
本文详细介绍了 Java Web 服务器 Tomcat 的安装配置过程,包括安装 JDK,配置环境变量,解压安装 Tomcat 以及在 IDEA 中配置服务器。文章还解释了前端程序如何访问后端程序以及 Web 服务器的概念,帮助读者了解 Java Web 开发的基础知识。此外,本文提供了一个完整的 JavaEE 项目创建指南,涵盖了创建项目,配置服务器和发布文章等步骤。最后,文章还介绍了如何使用 IDEA 创建 JavaEE 项目,并配置服务器以便进行开发和测试。
javaee eclipse
09-01
- *1* *2* *3* [在Eclipse开发平台上运行基于JavaEE的项目程序](https://blog.csdn.net/Journey0911/article/details/54730924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值