在计算机网络中有一个用于计算机或通信系统间互联的标准体系,一般成为OSI七层模型(也可简化成四层模型),其中每一层都包含了一些具体的协议。如下图:
http协议全称超文本传输协议,位于七层模型当中的应用层,被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。
为了弥补HTTP协议的这一数据传输的安全性缺陷,产生了另一种协议:安全套接字层超文本传输协议HTTPS,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。所以如今HTTPS已经成为了最受欢迎的通讯传输协议,但也不排除一些例外的情况,比如一些平台在进行交互的时候使用的是一些特殊的专线网络,受到物理条件的影响,可能支持HTTP通讯。也或者平台在通讯的过程对安全性要求较低,而对实时性的要求较高,此时也更适合用HTTP协议进行通讯,因为HTTPS协议在交互的过程中没有HTTP高效,可能会导致一定的延迟。
在这里我们其实还可以联想到一种连接方式:Socket连接。很多情况下,需要服务器端主动向客户端推送数据,保持客户端与服务器数据的实时与同步。此时若双方建立的是Socket连接,服务器就可以直接将数据传送给客户端;若双方建立的是HTTP连接,则服务器需要等到客户端发送一次请求后才能将数据传回给客户端,因此,客户端定时向服务器端发送连接请求,不仅可以保持在线,同时也是在“询问”服务器是否有新的数据,如果有就将数据传给客户端。
下面我们还是回归正题,继续HTTPS连接方式的梳理。
一般我们在客户端在使用HTTPS方式与Web服务器通信时有以下几个步骤:
(1)客户使用https的URL访问Web服务器,要求与Web服务器建立SSL连接。
(2)Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
(3)客户端的浏览器与Web服务器开始协商SSL连接的安全等级,也就是信息加密的等级。
(4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
(5)Web服务器利用自己的私钥解密出会话密钥。
(6)Web服务器利用会话密钥加密与客户端之间的通信。
那在实际应用中我们是通过什么方式来实现HTTPS通信的呢,下面我们以Java为例,Java实现HTTPS通信主要有两种方式POST方式和GET方式。其实我们用的最多还是POST方式,因为这种方式安全性高,数据传输大小没有限制。而实现POST方式的办法也有两种,一种是通过jdk中的HttpURLConnection实现POST请求。方法大致如下:
public void post() throws IOException{
URL url = new URL("http://127.0.0.1/http/demo.do");
HttpURLConnection httpURLConnection = (HttpURLConnection) url.openConnection();
httpURLConnection.setDoInput(true);
httpURLConnection.setDoOutput(true); // 设置该连接是可以输出的
httpURLConnection.setRequestMethod("POST"); // 设置请求方式
httpURLConnection.setRequestProperty("charset", "utf-8");
PrintWriter pw = new PrintWriter(new BufferedOutputStream(httpURLConnection.getOutputStream()));
pw.write("name=welcome"); // 向连接中输出数据(相当于发送数据给服务器)
pw.write("&age=14");
pw.flush();
pw.close();
BufferedReader br = new BufferedReader(new InputStreamReader(httpURLConnection.getInputStream(),"utf-8"));
String line = null;
StringBuilder sb = new StringBuilder();
while ((line = br.readLine()) != null) { // 读取数据
sb.append(line + "\n");
}
System.out.println(sb.toString());
}还有一种方式是使用httpclient进行https通信,这也是目前最流行的一种方式。HttpClient相比传统JDK自带的URLConnection,增加了易用性和灵活性,它不仅是客户端发送Https请求变得容易,而且也方便了开发人员测试接口(基于Http协议的),也就提高了开发的效率。使用HttpClient发送请求、接收响应很简单,一般需要如下几步即可:
1. 创建HttpClient对象。
2. 创建请求方法的实例,并指定请求URL。如果需要发送GET请求,创建HttpGet对象;如果需要发送POST请求,创建HttpPost对象。
3. 如果需要发送请求参数,可调用HttpGet、HttpPost共同的setParams(HetpParams params)方法来添加请求参数;对于HttpPost对象而言,也可调用setEntity(HttpEntity entity)方法来设置请求参数。
4. 调用HttpClient对象的execute(HttpUriRequest request)发送请求,该方法返回一个HttpResponse。
5. 调用HttpResponse的getAllHeaders()、getHeaders(String name)等方法可获取服务器的响应头;调用HttpResponse的getEntity()方法可获取HttpEntity对象,该对象包装了服务器的响应内容。程序可通过该对象获取服务器的响应内容。
6. 释放连接。无论执行方法是否成功,都必须释放连接。
具体实现如下,相关加解密方式参考第一篇文章。
int receivePort = 443;
Protocol authhttps =
new Protocol("https", new MyProtocolSocketFactory(), receivePort);
Protocol.registerProtocol("https", authhttps);
logInfo(msgId, "创建HttpClient对象");
HttpClient httpClient = new HttpClient();
PostMethod postMethod = new PostMethod(httpUrl);//httpUrl为请求地址
postMethod.addRequestHeader("Content-Type", "application/json; charset=GBK");
postMethod.setRequestEntity(new StringRequestEntity(jsonRequest, null, "GBK"));
//jsonRequest为要发送的数据
logInfo(msgId, "请求报文--->" + postMethod);
httpClient.executeMethod(postMethod);
String requestcharset = postMethod.getRequestCharSet();
logInfo(msgId, "请求编码--->" + requestcharset);
int statusCode = postMethod.getStatusCode();
logInfo(msgId, "通讯返回statusCode--->" + statusCode);
if (statusCode == 200) {
logInfo(msgId, "返回报文处理");
String responseJson = postMethod.getResponseBodyAsString();
//respnseJson为响应端返回报文
if (StringUtils.isEmpty(responseJson)) {
logInfo(msgId, "Error:responseJson is null");
return -1;
}
logInfo(msgId, "返回报文" + responseJson);
796
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
