1、超文本传输协议
HTTP 是一个在计算机世界里专门在「两点」之间「传输」文字、图片、音频、视频等「超文本」数据的「约定和规范」。
HTTP 协议是基于 TCP/IP,并且使用了「请求 - 应答」的通信模式,所以性能的关键就在这两点里。
2、GET 和 POST
Get 方法的含义是请求从服务器获取资源,这个资源可以是静态的文本、页面、图片视频等。
而POST 方法则是相反操作,它向 URI 指定的资源提交数据,数据就放在报文的 body 里。
GET 和 POST 方法都是安全和幂等的吗?
-
在 HTTP 协议里,所谓的「安全」是指请求方法不会「破坏」服务器上的资源。
-
所谓的「幂等」,意思是多次执行相同的操作,结果都是「相同」的。
GET 方法就是安全且幂等的,post既不安全也不幂等
3、http特性
1)简单
2)灵活和易于扩展
3)应用广泛和跨平台
缺点:
无状态、明文传输、不安全
4、http1.1改进
1)长连接
持久连接的特点是,只要任意一端没有明确提出断开连接,则保持 TCP 连接状态
2)管道网络传输
即可在同一个 TCP 连接里面,客户端可以发起多个请求,只要第一个请求发出去了,不必等其回来,就可以发第二个请求出去,可以减少整体的响应时间。
3)队头阻塞
5、HTTP 与 HTTPS
-
)HTTP 是超文本传输协议,信息是明文传输,存在安全风险的问题。HTTPS 则解决 HTTP 不安全的缺陷,在 TCP 和 HTTP 网络层之间加入了 SSL/TLS 安全协议,使得报文能够加密传输。
-
)HTTP 连接建立相对简单, TCP 三次握手之后便可进行 HTTP 的报文传输。而 HTTPS 在 TCP 三次握手之后,还需进行 SSL/TLS 的握手过程,才可进入加密报文传输。
-
)HTTP 的端口号是 80,HTTPS 的端口号是 443。
-
)HTTPS 协议需要向 CA(证书权威机构)申请数字证书,来保证服务器的身份是可信的。
5、http风险以及解决
窃听风险、篡改风险、冒充风险
HTTPS 在 HTTP 与 TCP 层之间加入了 SSL/TLS 协议。
-
信息加密:交互信息无法被窃取,但你的号会因为「自身忘记」账号而没。
-
校验机制:无法篡改通信内容,篡改了就不能正常显示,但百度「竞价排名」依然可以搜索垃圾广告。
-
身份证书:证明淘宝是真的淘宝网,但你的钱还是会因为「剁手」而没。
如何实现?
-
混合加密的方式实现信息的机密性,解决了窃听的风险。HTTPS 采用的是对称加密和非对称加密结合的「混合加密」方式。
-
摘要算法的方式来实现完整性,它能够为数据生成独一无二的「指纹」,指纹用于校验数据的完整性,解决了篡改的风险。
-
将服务器公钥放入到数字证书中,解决了冒充的风险。
6、SSL/TLS 协议基本流程:
-
客户端向服务器索要并验证服务器的公钥。
-
双方协商生产「会话秘钥」。
-
双方采用「会话秘钥」进行加密通信。
7、SSL/TLS 协议具体流程:
首先,由客户端向服务器发起加密通信请求,也就是 ClientHello 请求。
服务器收到客户端请求后,向客户端发出响应,也就是 SeverHello。
客户端收到服务器的回应之后,首先通过浏览器获得服务器 CA 公钥,确认服务器的数字证书的真实性。如果证书没有问题,客户端会从数字证书中取出服务器的公钥,然后使用它加密报文,向服务器发送信息。
服务器收到客户端的第三个随机数(pre-master key)之后,通过协商的加密算法,计算出本次通信的「会话秘钥」。然后,向客户端发生最后的信息。
注意:私匙是用来对公匙加密的信息进行解密的,是需要严格保密的。
公匙是对信息进行加密,任何人都可以知道。所以这里的私匙和公匙利用了非对称加密。
使用两者互相发送请求时产生的随机数,计算出一个对称加密的密匙,以此作为加密信息并发送。
总结:使用非对称协议加密对对称协议加密密匙的加密,并使用对称加密协议,进行信息的加密。
扫一扫
2934
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
