HTTP、HTTPS、Session Cookie与JWT

最新推荐文章于 2024-07-22 15:00:00 发布
最新推荐文章于 2024-07-22 15:00:00 发布
阅读量2.4k 收藏 1
点赞数
文章标签: http https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51535737/article/details/124365019
版权

HTTP各版本

HTTP的特点:
  1. 无状态:对事物处理没有“记忆”能力
  2. 通信使用明文,请求和响应不会对通信方进行确认、无法保护数据的完整性
  3. 基于请求和响应:基本的特性,由客户端发起请求,服务端响应
  4. 简单快速、灵活

缺点:

  1. 通信使用明文,内容可能被窃听
  2. 不验证通信方身份,可能遭遇伪装
HTTP/1.0
  • 默认使用短连接;每次请求都需要建立TCP连接,即每次发送数据都需要三次握手、四次挥手,传输完成立即断开,开销大,效率低。可以设置 Connection:keep-alive,强制开启长连接
  • 错误状态响应码少
  • 不支持断点续传。每次都会传全部的页面和数据。
HTTP/1.1
  • 默认长连接(持久连接),即TCP连接默认不关闭,可以被多个请求复用
  • 分块传输编码,即服务端每产生一块数据,就发送一块,用“流模式”取代“缓存模式”
  • 管道机制(客户端可以将多个请求放入队列,当第一条请求发往服务器,第二第三条也可以发送了,可以降低网络的环回时间,提高性能),即在同一个TCP连接里面,客户端可以同时发送多个请求

会引起队头阻塞:http管道机制要求服务端必须按照请求发送的顺序返回响应,如果第一个响应延迟了,后续的响应都会被延迟

HTTP/2.0

  • 二进制格式,1.1版本的头信息是文本(ASCII编码),数据体可以是文本和二进制;2.0中,头信息和数据体都是二进制,实现方便,健壮性更好

  • 多路复用,在一个连接里,客户端和浏览器都可以同时发送多个请求或回应,而且不用按照顺序一一对应(解决队头阻塞问题)

  • 报头压缩:因HTTP协议是无状态的(不对通信状态进行保存),每次请求都必须附上所有信息。HTTP/2.0引入了头信息压缩机制,使用gzip或compress压缩后再发送,同时通信的双方各自缓存一份header fields表,即避免了header的重复传输,又减少了传输的大小

  • 服务器推送:允许服务器未经请求,主动向客户端发送资源(还没有收到浏览器的请求,服务器就把各种资源推送给浏览器)
    推送资源必须对应一个请求,请求由服务端 PUSH_PROMISE 发送,响应在Stream ID 的 Stream 中发送,Stream ID 是偶数,服务器基于 PUSH_PROMISE 帧告诉client,css,js资源即将推送

HTTPS

HTTPS其实就是在HTTP的基础上加了SSL协议

HTTPS特点:
  1. 内容加密:采用混合加密,中间者无法直接查看明文内容
  2. 验证身份:通过证书认证客户端访问的是自己的服务器
  3. 保护数据完整性:防止传输的内容被中间人冒充或者篡改
HTTPS是怎么保证安全的

HTTPS用了证书、非对称加密来验证身份和内容加密
服务器用证书来保证自己是合法的,就相当于身份证,用来证明自己的身份,不用担心有人冒充自己,让用户放心发请求。
通过公钥加密,私钥解密(私钥只有服务器知道),来保证密文的传输,就算传输的信息被拿到也不担心信息泄露。

流程如下:

  1. 客户端向服务器发送https请求,
  2. 服务器把证书、公钥发给客户
  3. 客户通过证书验证身份之后,会随机生成一个对称密钥
  4. 用公钥加密该对称密钥,发送给服务器
  5. 服务器用私钥解密得到该对称密钥
  6. 之后客户端与服务器之间的通信,都使用该对称密钥加密后在传输

cookie、session、jwt

因为HTTP是无状态的,所有引入了cookie、session、jwt来保存历史请求,总不能每次请求都输入一遍账号密码吧

cookie、session

当server收到client请求后,会生成一个session,请求返回会将sessionid也返回给client。client收到会保存到cookie中,在之后的请求中会把cookie也发送给server,server会读取cookie中的sessionid与自身存储的sessionid是否相同,相同就通过了身份验证,响应请求。

jwt

由三部分组成

  • Header,包括类型和加密使用的算法
  • Payload,包括registered,public,private
registered
iss(issuer)签发人
exp(expiration time)过期时间
sub(subject)主题
aud(audience)受众
nbf(not before)生效时间
iat(issued at)签发时间
jti(jwt id)编号

public:可以添加任何信息,但该部分可以在客户端进行解密,不要添一些敏感信息
private:自定义声明

  • Signature,防止前两部分被篡改,用密钥进行签名
    • header(加密后)
    • payload(加密后)
    • secret

可以去官网试试:jwt.io/#debugger-io

token是发放给客户端的,发放之后,客户端会把它存起来

  1. 存在localStorage,每次请求把token放在HTTP请求头Authorization字段,存在web,可以通过javascript访问,容易收到XSS攻击
    XSS:跨站脚本攻击,攻击者通过在目标网站注入恶意脚本,在用户浏览器上运行,可以获取到用户的敏感信息
  2. 存在cookie,让它自动发送,可以设定HttpOnly来防止被javascript读取,也可以设定secure保证token只在HTTPS传输。但不能跨域,容易遭受CSRF攻击。
    CSRF:跨站请求伪造,攻击者用已经认证过的用户信息去进行一些操作。由于身份已经认证过,目标网站会认为这些都是用户的正常操作。
Chandler~
关注
全站 HTTPS 来了
腾讯Bugly的专栏
12-25 1880
各位使用百度、谷歌或淘宝的时候,有没有注意浏览器左上角已经全部出现了一把绿色锁,这把锁表明该网站已经使用了 HTTPS 进行保护。仔细观察,会发现这些网站已经全站使用 HTTPS。同时,iOS 9 系统默认把所有的 http 请求都改为 HTTPS 请求。随着互联网的发展,现代互联网正在逐渐进入全站 HTTPS 时代。 全站 HTTPS 能够带来怎样的优势?HTTPS 的原理又是什么?同
单点登录(SSO)、JWTHTTP详解及实例演示
BaiKnow的博客
02-07 3807
单点登录(JWT) 作者:pox21s 1.HTTP 1.1 概述 超文本传输协议(Hyper Text Transfer Protocol,HTTP)是一个简单的请求 - 响应协议,它通常运行在TCP之上。(1) 所谓的"协议"实际上就是双方约定好的"格式"让双方都能看得懂的东西,交互实际上就是"请求"和"响应"。 (1):在HTTP/3 使用的就是 UDP 协议 1.2 发展 HTTP/1.0 HTTP/1.0 成为最重要的面向事务的应用层协议。该协议对每一次请求/响应建立并拆除一次连接。默认
HTTP会话保持技术:CookieSession、Token、JWT
Happy_lifer的博客
05-08 1371
JWT 是 JSON Web Token 的缩写,JWT 本身没有定义任何技术实现,它只是定义了一种基于 Token 的会话管理的规则,涵盖 Token 需要包含的标准内容和 Token 的生成过程。
深入解析 JWT(JSON Web Tokens):原理、应用场景与安全实践
最新发布
Karka_的博客
07-22 919
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在Web 应用程序和服务之间尤其流行用于身份验证和信息交换。JWT 本身包含了所有必要的信息。一个 JWT 通常包含用户身份验证信息、token 的发行者、过期时间等。由于其较小的体积,JWT 可以通过 URL、POST 参数或在 HTTP 头中发送,这使得其在网络环境中传输非常高效。
JWT(JSON Web Token)和 HTTP(Hypertext Transfer Protocol)区别是什么
m0_74772114的博客
12-25 106
JWTHTTP 是两种不同的技术
关于HTTPHTTPScookie
weixin_44258947的博客
01-13 506
关于HTTPHTTPScookie
CookieSessionJWT的详解
miaozy
04-10 1505
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证和授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器和浏览器的会话跟踪,就需要使用 c...
sessioncookie以及jwt
zflhw的博客
04-05 464
https://img2020.cnblogs.com/blog/1515111/202004/1515111-20200405090920745-1422513552.png CookieSession HTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;SessionCookie 的主要目的就是为了弥补 HTTP...
cookie-sessionJWT的比较
a_369488977的博客
11-02 224
1.1cookie原理: 用户名+密码   ·cookie是保存在用户浏览器端,用户名和密码等明文信息    1.2session使用原理   session是存储在服务器端的一段字符串,相当于字典的key   1.用户向服务器发送用户名和密码。   2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。   3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。   4.用户的每个后续请求...
Cookie Session Token 与 JWT 解析
weixin_45898624的博客
06-25 1233
对登录功能的解析
JWT相关知识及Cookie, Session,Token和JWT的区别总结.pdf
05-31
总结来说,CookieSessionJWT都是处理身份验证和会话管理的方式,各有优劣。Cookie适合简单的Web应用,Session适用于需要服务器保持状态的场景,而JWT则在分布式系统和无状态认证中表现出色。理解它们之间的差异...
抓取的https session连接恢复的数据包
09-12
抓包的操作步骤: 本机电脑浏览器(chrome)是client,本机上的一个虚拟机为server; client请求server,第一次建立连接; 断开虚拟机的网络,肯定断开了连接; 打开虚拟机的网络,再用client请求server,抓包。 恢复连接主要看ClientHello中的Session ID。 新建连接抓取的数据包:http://download.csdn.net/download/kanguolaikanguolaik/9974728 请求的url:https://blog.qihooyun.cn/ 响应内容:https-test 方便自己以后查看,不必每次都重新抓取一个包了。 Server端设置了keep-alive为65秒。
HTTPHTTPSCookieSession
weixin_44142075的博客
03-10 418
HTTP 在浏览器地址栏输入URL,按下回车后经历的流程 DNS解析:依据URL逐层解析URL中的域名对应的IP 浏览器缓存<系统缓存<路由器缓存<IPS服务器缓存<根域名服务器缓存<顶级域名服务器缓存 与服务器TCP连接:根据ip地址和目的端口 发送HTTP请求: 服务器处理请求返回HTTP报文 浏览器解析渲染页面、连接结束(四次挥手) HTTP状态码 1xx 指示信息:请求已接收,继续处理 2xx 成功:请求已接收,理解、接受 3xx 重
http https session丢失
fly_zxy的专栏
03-27 5049
现象描述 项目中仅在登录时使用https连接进行登录请求,登录成功会使用http访问服务器的其它资源。也就说从https连接切换到http。输入正确的用户和密码后总是跳转到登录页面,并没有跳转到主页面。debug了一下程序,发现在跳转到主页时,程序认为 request.getSession("userInfo") 获取的用户信息为 null,用户没有登录。而不适用https连接请求登录,输入正确
HTTP & HTTPS, Session & Cookie 知识点总结
旧时光 | YoungChen's 博客
12-10 814
HTTP & HTTPS, Session & Cookie 知识点总结
利用NSURLSession实现https请求
我的专栏
07-19 7422
- (void)viewDidLoad { [super viewDidLoad]; // Do any additional setup after loading the view from its nib. /* https原理: 1,客户端请求服务器,如果是第一次请求,服务器返回向客户端返回证书 2,客户端
jwt加解密 Java_使用JWT简化http接口鉴权,告别烦人的加密、解密代码吧
weixin_33406440的博客
02-26 765
在项目开发过程经常对接其他系统和被其他系统对接,发现很多系统都有一套自己的鉴权规则,还不提供库或代码,只有文字描述,经常需要自己实现鉴权方法,这真是太低效了。本文介绍一个在项目中使用一个成熟稳定的开源框架JWT( JSON Web Token )。哎呀,不好意思,还是在写鉴权哎。 希望不要烦到你哦详细地址在:https://jwt.io/ 。JWT的特点有:简单:有各种语言的sdk和样例,不需要自...
https 后面补充session
HflyDragon的博客
02-04 881
由于ios9之后强制的https请求,原来的http请求所占的市场比率也越来越小。在网上查了几十篇类似的https请求的文章,诸如此类的问题很多,但是回答者含糊其辞, 都不尽如人意,经过几天的探索,写下这篇文章,希望可以帮到有这方便需求的开发者。 首先,需要知道什么是https,以此共勉。 1.HTTPSHTTP的区别https协议需要到CA申请证书,一般免费证书很少,需要交费。 http是超文本
Jwt(Json web token)——从Http协议到session+cookie到Token &amp; Jwt介绍 &amp; Jwt的应用:登陆验证的流程_jwt
2401_84563465的博客
05-16 758
jwt的依赖// 定义头部header获取信息// 定义头部header// 定义头部header// 定义头部header@Data@Mapper@Service@Slf4j* 登陆的业务。
请求的站点不可用或无法找到怎么解决_不可遗漏的知识点----你应该知道的https...
weixin_39833429的博客
11-29 2990
基本概念HTTP:超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。HTTPS:是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL(SSL记录协议[SSL Record Protocol...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值