谈谈 HTTPS

最新推荐文章于 2022-07-07 23:09:34 发布
最新推荐文章于 2022-07-07 23:09:34 发布
阅读量180 收藏
点赞数
分类专栏: 前端 文章标签: 前端 HTTP HTTPS
原文链接:https://www.mk2048.com/blog/blog.php?id=hk21cai1aa&title=%E8%B0%88%E8%B0%88+HTTPS
版权

前言:这是作为一个前端开发对 HTTPS 的浅显的理解,仅仅是可以让你在看完文章之后对 HTTPS 的原理了解,具体的实现方式并没有给出。有不对的地方欢迎指出。

本文首发于我的个人网站:http://cherryblog.site/

什么是 HTTPS

HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。

HTTP 与 HTTPS 的区别

  • HTTP 是明文传输,HTTPS 通过 SSL\TLS 进行了加密
  • HTTP 的端口号是 80,HTTPS 是 443
  • HTTPS 需要到 CA 申请证书,一般免费证书很少,需要交费
  • HTTPS 的连接很简单,是无状态的;HTTPS 协议是由 SSL HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 HTTP 协议安全。

为什么要使用 HTTPS

前一段时间,公司要求对全栈使用 HTTPS,当时我还在想,HTTPS 不是只用于支付的环节吗,为什么要全栈都使用 HTTPS,真的是图样图森破
其实使用 HTTPS 最主要的用处是以下两点:

  • 建立一个信息安全通道,来保证数据传输的安全
  • 确认网站的真实性,防止钓鱼网站

HTTPS 原理

在看 HTTPS 的时候,在 GOOGLE 搜索的大部分都是一些比较专业的术语,对于一个前端来说,对这些什么应用层、传输层的协议和各种服务器的信息都不是很了解,所以看的不是很明白也看不进去,于是,看到一篇文章:一个故事讲完https 表示勉强可以理解,/(ㄒoㄒ)/~~,于是对其详细的研究了下,对于前端理解 HTTPS 还是可以看一下的。

本文其实就是对这篇文章的理解,不知道其他小伙伴都是什么水平,我是看 HTTPS 原理比较吃力的

序言

来自中国的张大胖和位于米国的 Bill 进行通信

总是有一种被偷看的感觉

由于张大胖和 Bill 都是使用 HTTP 进行通信,HTTP 是明文的,所以他们的聊天都是可被窥视的。于是,二人准备想要改变现状,所以 HTTPS 首先要解决的问题就是要保证传输的内容只有这两个人能看懂

plan1:使用对称密钥

使用对称密钥
使用对称密钥

两人商量了一下,可以使用对称密钥进行加密。(对称密钥也就是加密和解密使用的是同一个密钥)

但是问题又来了~既然网络是不安全的,那么最开始的时候怎么将这个对称密钥发送出去呢?如果对称密钥在发送的时候就已经被拦截,那么发送的信息还是会被篡改和窥视啊~~

所以这种对称密钥的弊端就是,可能被中间人拦截,这样中间人就可以获取到了密钥,就可以对传输的信息就行窥视和篡改。

plan2:使用非对称密钥

使用非对称密钥
使用非对称密钥

RSA(非对称加密算法):双方必须协商一对密钥,一个私钥一个公钥。用私钥加密的数据,只有对应的公钥才能解密,用公钥加密的数据, 只有对应的私钥才能解密。

非对称加密算法
非对称加密算法

这样的话 Bill 将自己的公钥给张大胖,张大胖发送的信息使用 Bill 的公钥加密,这样,只有 Bill 使用自己的私钥才能获取

但是这样有个弊端:

  • RSA 算法很慢= =,要慢很多

所以为了解决这个问题,我们使用非对称密钥 对称密钥结合的方式

plan3:非对称密钥 对称密钥

使用对称密钥的好处是速度比较快,使用非对称密钥的好处是可以使得传输的内容不能被破解,因为就算你拦截到了数据,但是没有 Bill 的私钥,也是不能破解内容的。就比如说你抢了一个保险柜,但是没有保险柜的钥匙也不能打开保险柜。

所以我们要结合两者的优点。使用 RSA 的方法将加密算法的对称密钥发送过去,之后就可以使用使用这个密钥,利用对称密钥来通信了。就比如说我将钥匙放进了保险柜,然后将保险柜寄给对方。

中间人攻击

还有一个问题就是在使用非对称密钥的时候,首先需要将 Bill 的公钥给张大胖,那么在这个过程中,安全是没有保障的,中间人可以拦截到 Bill 的公钥,就可以对拦截到的公钥进行篡改。

这也就是相当于我有手机号,虽然是公开的,谁都可以给我打电话,但是刚开始你并不知道我的手机号,我需要将我的手机号发给你,在我发给你我的手机号的时候,被中间人拦截了,然后将我正确的手机号换成了错误的手机号,比如:110,然后,你收到的就是错误的手机号:110,但是你自己还不知道你收到的是错的手机号,这时候,你要是给我打电话,就尴尬了~~

确认身份 —— 数字证书

所以以上的步骤都是可行的,只需要最后一点就可以了,要确定 Bill 给张大胖的公钥确实是 Bill。 的公钥,而不是别人的。(刚刚电话号码的那个例子,也就是说,需要确定我给你发的电话号码是我的,没有被修改的)

那怎么确认 Bill 给张大胖的公钥确实是 Bill 的呢?

这个时候就需要公证处的存在了。也就是说我需要先将我的电话号码到公证处去公证一下,然后我将电话号码传给你之后,你在将你收到的电话号码和公证处的比对下,就知道是不是我的了。

对应到计算机世界,那就是数字签名

数字签名
数字签名

数字签名也就是相当于公证处在公证书上盖章。

数字证书
数字证书

数字签名和原始信息合在一起称为数字证书,Bill 只需将数字证书发送给张大胖就可以了。

在拿到数字证书之后,就用同样的Hash 算法, 再次生成消息摘要,然后用CA的公钥对数字签名解密, 得到CA创建的消息摘要, 两者一比,就知道有没有人篡改了!

对比消息摘要是否相同
对比消息摘要是否相同

以上你全部看完并且理解了,那么对于 HTTPS 你也就大概有个了解了。

听说写文章可以得异步社区的书,异步社区作为国内顶尖的IT专业图书社区,它的书我非常想要,所以我竭力写了这篇文章,我想要这本书(《Python极客项目编程》

大家如果觉得好给我点个赞吧

Xeechem
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTPS工作原理
eafun_888的博客
06-19 159
HTTPS主要作用是: (1)对数据进行加密,并建立一个信息安全通道,来保证传输过程中的数据安全; (2)对网站服务器进行真实身份认证。 HTTP协议存在的哪些问题: 通信使用明文(不加密),内容可能被窃听 由于HTTP本身不具备加密的功能,所以也无法做到对通信整体(使用HTTP协议通信的请求和响应的内容)进行加密。即,HTTP报文使用明文(指未经过加密的报文)方式发送。 HTTP...
谈谈httphttps
weixin_33888907的博客
01-30 100
今天简单的来说一下httphttps, 简单来讲:    HTTP 是 超文本协议,TCP 端口是 80    HTTPS 是一种配合了SSL协议的、加密的HTTP 协议 ,TCP端口是 443    HTTP 是什么  HTTP(HyperText Transfer Protocol)协议是非常常见的网络协议,是专门用来传输WEB内容的,提供了发布和接收HTML的方法,大部分网站都是通过H...
谈一谈https
10-05 389
httpshttp多干的事情 1、客户端向服务端请求https连接获取证书(公钥) 2、客户端给服务器发送(对称加密<公钥>):随机数 的密文 3、客户端同时给服务端发送:(对称加密<公钥>):随机数+私钥的密文 4、服务器根据公钥解密出随机数,同时解密出私钥 5、客户端使用非对称加密进行数据传输,客户端使用公钥加密,服务器使用私钥解密 ...
浅谈 HTTPS
weixin_51123079的博客
07-07 462
HTTPS(Hyper Text Transfer Protocol over SecureSocket Layer)即 超文本传输安全协议,是以安全为目标的 HTTP 通道,在 HTTP 的基础上通过 传输加密 和 身份认证 保证了传输过程的安全性 。 而 传输加密 和 身份认证 的保证是通过在 HTTP 的基础上加入一层 加密 / 身份认证层(SSL / TLS)实现的。 ......
diagrams:https
03-04
接下来,我们谈谈HTTPSHTTPS是在HTTP(超文本传输协议)基础上加入SSL/TLS协议的,目的是提供数据加密、服务器身份验证以及消息完整性检查。在互联网上,HTTPS常用于保护用户的登录信息、信用卡号等敏感数据,防止...
谈谈HttpClient使用详解
09-03
HttpClient的目标是简化HTTP通信,提供对HTTP 1.0和1.1协议的支持,以及HTTPS协议的实现。它具有强大的连接管理、认证机制、Cookie处理和缓存功能,使得开发人员在处理HTTP请求时能够更加灵活和便捷。 HttpClient的...
about-me:https
05-06
接下来,我们谈谈HTTPS,它是HTTP的安全版本,主要用于加密网络通信,确保数据在传输过程中不被窃取或篡改。在创建个人网页时,使用HTTPS至关重要,因为它可以保护用户访问你的页面时的隐私,比如当他们填写表单或者...
简单谈谈Python的pycurl模块
01-20
pycurl是一个用c语言编写的libcurl Python实现,功能非常强大,支持操作协议有FTP,HTTPHTTPS,TELNET等。 模块的常用方法说明: close()方法,对应libcurl包中的curl_easy_cleanup方法,无参数,实现关闭、回收...
谈谈Android 图片选择器
01-20
https://github.com/YancyYe/ImageSelector Demo Download Apk 更新内容 UI重改 所有功能可配置 解决OOM情况 图片手动选择 支持汉语和英语 截图展示 使用说明 步骤一: 通过Gradle抓取 dependencies { ...
浅谈HTTPS
qq_41185460的博客
08-03 385
目录 HTTP的缺点 1.通信使用明文可能会被窃听 2.不验证通信方的身份就可能遭遇伪装 3.无法证明报文完整性,可能已遭篡改 HTTPS的引入 1. HTTP+加密+认证+完整性保护 = HTTPS 2. 相互交换秘钥的公开秘钥加密技术 HTTPS的使用 HTTP的缺点 HTTP用户客户端和服务器进行通信,可以说是相当优秀。不过还存在着一定的问题 通信使用明文(不加密),内容可能会被窃听 不验证通信方的身份,因此有可能遭遇伪装 无法验证报文的完整性,所有有可能已遭篡改 .
简单的理解https的连接过程
weixin_34378922的博客
08-20 71
客户端:发送自己支持的加密协议及版本(ssl,tls)到服务器 服务器:接收并从中筛选自己同样支持的加密协议及版本并一证书的形式返回给客户端(CA证书其中包含公钥) 客户端:使用根证书来验证服务器的证书是否合法,然后生成对称密钥通过证书中的公钥进行加密发送到服务器 服务器:通过私钥解密获取对称密钥,使用对称密钥进行加密数据 客户端解密数据:进行ssl通信 以自己的理解来说,其实就是整个过...
HTTPS工作流程浅谈
weixin_44363770的博客
06-17 615
https ,就是Hyper Text Transfer Protocol over Secure Socket Layer 或 Hypertext Transfer Protocol Secure,超文本传输安全协议,其实就是数据加密后的http协议,在Http底层加入了SSL,安全基础为SSL,因此加密的详细内容就需要SSL,使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/...
浅谈HTTPHTTPS
工作随笔
06-14 945
目前WEB应用基本上已成为手机应用之外的第二大主流应用了,实际上很多手机页面也是通过内嵌WEB页面的方式来实现数据展示的;WEB页面很多人都知道,包括在测试的时候都是直接使用的HTTP协议,使用HTTPS协议的比较少,原因是什么呢? 这里首先来分清什么是HTTP,什么是HTTPSHTTP协议:超文本传输协议 (HTTP-Hypertext transfer protocol) 是一种详细规定了浏
为什么 HTTPS 是安全的?
民工哥的博客
09-13 639
点击上方“民工哥技术之路”,选择“设为星标”回复“1024”获取独家整理的学习资料!1. HTTP 协议在谈论 HTTPS 协议之前,先来回顾一下 HTTP 协议的概念。1.1 HTTP...
请说说HTTPHTTPS
michael8512的博客
09-11 649
1、HTTP 1)协议:HTTP协议运行在TCP之上。 2)内容:明文,客户端和服务器端都无法验证对方的身份。   3)端口:80 4)SEO:无影响 5)其他:无状态的链接 2、HTTPS 1)协议:HTTP运行在SSL/TLS之上,SSL/TLS(添加的安全协议)运行在TCP之上(SSL+HTTP)。 2)内容:加密,加密采用对称加密,但对称加密的密钥用服务器方的证书进
Https流程(简单认识)
积累点滴,成就梦想
12-06 168
最经看了一些关于https的东西,比较乱,现在做个总结(不一定正确,而且很多细节没挖掘,只是目前的一个粗浅认识) [b]Https流程图[/b] [img]http://dl.iteye.com/upload/attachment/0077/5277/d31b3d02-eb0c-3788-b824-bb6840252272.jpg[/img] [b]从这个图我们可以看出:[/b]...
说说http,https协议
z2014ypd的博客
04-14 657
HTTP是超文本协议,默认端口是80,以明文方式传输。 HTTPSHTTP协议的安全版,安全基础是SSL,以密文方式传输。
https 安全传输的原理
肉丸不肉
04-04 454
一、对称加密算法: 加密和解密用的是同一个密钥 但是面临的问题是:密钥传递问题—密钥双方必须得知道啊, 但是密钥又无法通过网络发送 二、RSA : 非对称加密 有一对儿钥匙, 一个是保密的,称为私钥,另外一个是公开的,称为公钥。 更有意思的是,用私钥加密的数据,只有对应的公钥才能解密;用公钥加密的数据, 只有对应的私钥才能解密。 有了这两个漂亮的特性, 当张大胖给Bill发消息的时候...
009谈谈redis的雪崩
最新发布
08-28
Redis的雪崩是指在同一时段大量的缓存key同时失效或者Redis服务宕机,导致大量请求达到数据库,给数据库带来巨大压力。为了避免缓存雪崩,可以采取一些策略,比如使用布隆过滤器来判断缓存中是否存在key,对于不存在的key可以设置一个null值进行隔离,同时设置随机的过期时间来避免大量key同时失效。 对于Redis的雪崩问题,还有一种情况是由于恶意攻击造成的缓存穿透。比如黑客发出的恶意攻击请求,在缓存中找不到对应的key,每次都直接查询数据库,给数据库带来巨大的负载。为了解决这个问题,可以采用限流策略来保护数据库免受恶意攻击的影响。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Redis缓存雪崩及解决办法](https://blog.csdn.net/wasdgiaogiao__/article/details/130894988)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [009 谈谈Redis的雪崩、穿透和击穿,以及出现这些情况后的应对方案](https://blog.csdn.net/qq_32649581/article/details/124026423)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值