Android HTTP和HTTPS那点事

最新推荐文章于 2023-10-31 11:39:22 发布
最新推荐文章于 2023-10-31 11:39:22 发布
阅读量6k 收藏 11
点赞数 1
分类专栏: android系列 文章标签: http https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jo__yang/article/details/53940965
版权

先看看网络OSI(Open System Interconnect)模型:
这里写图片描述

这里写图片描述

CA证书是什么?

CA(Certificate Authority)是负责管理和签发证书的第三方权威机构,是所有行业和公众都信任的、认可的。
CA证书,就是CA颁发的证书,可用于验证网站是否可信(针对HTTPS)、验证某文件是否可信(是否被篡改)等,也可以用一个证书来证明另一个证书是真实可信,最顶级的证书称为根证书。除了根证书(自己证明自己是可靠),其它证书都要依靠上一级的证书,来证明自己。


HTTP三次握手

HTTP(HyperText Transfer Protocol)超文本传输协议是互联网上应用最为广泛的一种网络协议。由于信息是明文传输,所以被认为是不安全的。而关于HTTP的三次握手,其实就是使用三次TCP握手确认建立一个HTTP连接。
如下图所示,SYN(synchronous)是TCP/IP建立连接时使用的握手信号、Sequence number(序列号)、Acknowledge number(确认号码),三个箭头指向就代表三次握手,完成三次握手,客户端与服务器开始传送数据。
这里写图片描述


HTTPS原理

HTTPS(Hyper Text Transfer Protocol Secure),是一种基于SSL/TLS的HTTP,所有的HTTP数据都是在SSL/TLS协议封装之上进行传输的。HTTPS协议是在HTTP协议的基础上,添加了SSL/TLS握手以及数据加密传输,也属于应用层协议。所以,研究HTTPS协议原理,最终其实就是研究SSL/TLS协议。


SSL/TLS协议作用

不使用SSL/TLS的HTTP通信,就是不加密的通信,所有的信息明文传播,带来了三大风险:

  1. 窃听风险:第三方可以获知通信内容。

  2. 篡改风险:第三方可以修改通知内容。

  3. 冒充风险:第三方可以冒充他人身份参与通信。

SSL/TLS协议是为了解决这三大风险而设计的,希望达到:

  1. 所有信息都是加密传输,第三方无法窃听。

  2. 具有校验机制,一旦被篡改,通信双方都会立刻发现。

  3. 配备身份证书,防止身份被冒充。


基本的运行过程

SSL/TLS协议的基本思路是采用公钥加密法,也就是说,客户端先向服务器端索要公钥,然后用公钥加密信息,服务器收到密文后,用自己的私钥解密,这就是非对称加密。但是这里需要了解两个问题的解决方案。

  1. 如何保证公钥不被篡改?

解决方法:将公钥放在数字证书中。只要证书是可信的,公钥就是可信的。

  1. 公钥加密计算量太大,如何减少耗用的时间?

解决方法:每一次对话(session),客户端和服务器端都生成一个“对话密钥”(session key),用它来加密信息。由于“对话密钥”是对称加密,所以运算速度非常快,而服务器公钥只用于加密“对话密钥”本身,这样就减少了加密运算的消耗时间。

因此,SSL/TLS协议的基本过程是这样的:

  1. 客户端向服务器端索要并验证公钥。

  2. 双方协商生成“对话密钥”。

  3. 双方采用“对话密钥”进行加密通信。

上面过程的前两布,又称为“握手阶段”。

这里写图片描述

  1. 客户端发起HTTPS请求

  2. 服务端的配置
    采用HTTPS协议的服务器必须要有一套数字证书,可以是自己制作或者CA证书。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用CA证书则不会弹出提示页面。这套证书其实就是一对公钥和私钥。公钥给别人加密使用,私钥给自己解密使用。

  3. 传送证书
    这个证书其实就是公钥,只是包含了很多信息,如证书的颁发机构,过期时间等。

  4. 客户端解析证书
    这部分工作是有客户端的TLS来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随即值,然后用证书对该随机值进行加密。

  5. 传送加密信息
    这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。

  6. 服务段解密信息
    服务端用私钥解密后,得到了客户端传过来的随机值(私钥),然后把内容通过该值进行对称加密。所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够彪悍,私钥够复杂,数据就够安全。

  7. 传输加密后的信息
    这部分信息是服务段用私钥加密后的信息,可以在客户端被还原。

  8. 客户端解密信息
    客户端用之前生成的私钥解密服务段传过来的信息,于是获取了解密后的内容。

    整个握手过程第三方即使监听到了数据,也束手无策。


HTTPS和HTTP的区别

  1. https协议需要到ca申请证书或自制证书。
  2. http的信息是明文传输,https则是具有安全性的ssl加密。
  3. http是直接与TCP进行数据传输,而https是经过一层SSL(OSI表示层),用的端口也不一样,前者是80(需要国内备案),后者是443。
  4. http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。


附录

HTTPS一般使用的加密与HASH算法如下:
非对称加密算法:RSA,DSA/DSS
对称加密算法:AES,RC4,3DES
HASH算法:MD5,SHA1,SHA256

更多精彩Android技术可以关注我们的微信公众号,扫一扫下方的二维码或搜索关注公众号:


Android老鸟
这里写图片描述

Jo__yang
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android网络通信之-HttpAndroid操作HTTP实现与服务器通信)
gxflh的博客
02-05 8726
本示例以Servlet为例,演示Android与Servlet的通信。 众所周知,Android与服务器通信通常采用HTTP通信方式和Socket通信方式,而HTTP通信方式又分get和post两种方式。至于Socket通信会在以后的博文中介绍。 HTTP协议简介:  HTTP (Hypertext Transfer Protocol ),是Web联网的基础,也是手机联网
Android开发 httphttps连接
shanglizhangrui的专栏
03-22 2927
转载地址:http://blog.csdn.net/k763925053/article/details/40588987之前的Android项目一般都是用http连接,现在需要兼容https连接,趁此机会就将httphttps协议好好了解了一下。首先先来看一下http协议的原理:1、HTTP原理HTTP是Hyper Text Transfer Protocol(超文本传输协议)的缩写。它的发展...
AndroidHTTPHTTPS混合使用
三须鳗鱼
03-12 2083
Android P默认https传输协议, 通过SSLSocketFactory手动添加了(数据交互)服务端的证书,但加载的图片资源、html等可能使用的http协议,导致资源无法访问。 先贴一下证书的添加 private static final String CLIENT_TRUST_PASSWORD = "123456";//信任证书密码 private static fina...
https不能和http混用,但可以和本地地址的http混用
Wewon_real的博客
09-24 3398
https不能和http混用,谷歌浏览器会禁止它访问http,因为不安全,但可以和本地地址的http混用。
WebView中HttpHttps混合问题
07-13 1143
场景复现:在Android5.0 以及以上的系统,当WebView加载的链接为Https开头,但是链接里面的内容,比如图片为Http链接,这时候,图片就会加载不出来,在浏览器中的Console会有如下警告log:The page at 'https://***********/test.html?userName=26535fd656sdf966339eecc013esfd91' was loade
HTTPHTTPS共存
最新发布
zcg359670476的博客
10-31 117
【代码】HTTPHTTPS共存。
详解Android的登录那点
01-05
随着互联网的高速发展,一个应用为了保护用户的隐私,通常会通过设置用户名+密码的验证方式保证用户隐私的相对安全,我知道一般...2、Android如何通过http请求达到与服务器之间的通讯。好了下面开始我们今天内容的介
详解Android中fragment和viewpager的那点
01-04
在之前的博文《Android 中使用 ViewPager实现屏幕页面切换和页面轮播效果》和《详解Android中Fragment的两种创建方式》以及《Android中fragment与activity之间的交互(两种实现方式)》中我们介绍了ViewPager以及...
Android viewpager自动轮播和小圆点联动效果
08-29
主要为大家详细介绍了Android viewpager自动轮播和小圆点联动效果,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Flutter中使用webview_flutter遇到的httpshttp混用问题(Android
Mr_Tony的专栏
12-16 3214
Flutter中WebView使用遇到的问题
Nginx同时支持HttpHttps的配置详解
qq_40902326的博客
06-13 4915
配置后,Nginx将同时监听HTTPHTTPS端口。当用户通过HTTP访问时,Nginx将使用HTTP配置进行处理;当用户通过HTTPS访问时,Nginx将使用HTTPS配置进行处理。这样,你的网站将同时支持HTTPHTTPS访问。此外,还可以根据需要配置重定向规则,将HTTP请求自动重定向到HTTPS,以确保用户访问始终通过加密连接。因此,在配置HTTPS时,请确保你的SSL证书是合法有效的,否则浏览器将会显示警告信息。建议参考Nginx的官方文档和相关教程,以获取更详细和准确的配置指导。
httphttps混用出现跨域时的解决策略
scofild950303的博客
02-21 3429
关于:在 HTTPS 承载的页面上不允许出现 http 请求,一旦出现就是提示或报错
Android WebView HTTPHTTPS 混合调用
iWay7的专栏
04-11 1733
做项目的时候观察到一种现象,公司 H5 页面访问接口的时候获取不到数据。结合前后发生的情,将原因锁定在最近公司网址由 HTTP 换作 HTTPS 上。经过查询,在 API 21 及以后,Android WebView 更改了安全策略,不允许 HTTPS 的页面通过 AJAX 调用 HTTP 接口。1、解决办法有两个,一个是将 HTTP 服务转换为 HTTPS,还有一个是更改 Android We...
Android WebView httpshttp混合以及跨域问题
hhllnw的博客
04-11 5943
1、WebView HTTPSHTTP混合使用出现的错误 Mixed Content: The page at 'xxx' was loaded over HTTPS, but requested an insecure XMLHttpRequest endpoint 'xxxxxxxxx'. This request has been blocked; the content must ...
HTTPSHTTP,工作流程和特点,ios和安卓默认不允许使用http,需要进行开启,前者要钱
qlin_11的博客
06-10 1605
HTTPSHTTP的区别主要如下: 1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。 2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。 3、httphttps使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。 4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传...
Android中的httphttps通信
xuyin1204的博客
05-18 1234
一、什么是Http协议? 超文本传送协议(Http–Hypertext transfer protocal)定义了浏览器(即万维网客户进程)怎样向万维网服务器请求万维网文档,以及服务器怎样把文档传送给浏览器,从层次的角度看,Http是面向(Transation-oriented)应用层协议,它是万维网上能够可靠地交换文件(包括文本、声音、图像等各种多媒体文件)的重要基础。 Http协议是一个无状态的协议,同一个客服端的这次请求和上次请求是没有对应关系。 Http协议永远都是客服端发起请求,服务器回送响应。
HTTPHTTP区别
weixin_42337937的博客
09-03 986
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。   为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安...
Android网络功能开发(2)——使用HTTP协议
nanoage的博客
11-07 1881
Android使用HTTP协议主要是作为客户端,用HTTP GET方法从服务器获取数据,用HTTP POST方法向服务器传送数据。本文介绍的是用HttpURLConnection类来发送HTTP请求。用HttpURLConnection发送HTTP请求的流程是:创建对象、设置参数、建立连接、传输数据、处理返回的数据。我们通过一个最简化的BBS系统原型来介绍如何实现HTTP GET和POST,包括一个Android客户端和Web服务器端。
网络篇——android中的Http(一)之Http协议基础
w8897282的博客
06-15 2721
Http概述 什么是Http Http基本工作流程 HttpUrlConnection 小栗子1_通过WebView加载网页 小栗子2_下载网络图片并显示
Android 知识点
10-25
以下是一些Android的知识点: 1. Android应用程序的开发,包括使用Java编程语言和Android SDK。 2. Android应用程序的生命周期,包括活动、服务、广播接收器和内容提供者。 3. Android的用户界面设计,包括布局、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值