http、https、GET和POST区别、密码学基础

◣星河◢

于 2022-10-02 12:53:46 发布

阅读量1.6k

点赞数 1

分类专栏： linux网络编程文章标签： http https 密码学

本文链接：https://blog.csdn.net/qq_58264156/article/details/127138829

版权

linux网络编程专栏收录该内容

9 篇文章 0 订阅

订阅专栏

http协议的特性:

http协议是建立在TCP/IP协议之上应用层协议，默认端口为80或者8080。http协议的的特点是无状态，无连接（并不是真的没有连接，而是在请求数据的时候有连接，在数据回来的时候就断开连接，不想tcp那样是一个长连接）

http协议的请求：

利用抓包工具httpwatch可以获取报文，http协议的报文传输的是ASCII码，在TCP/IP协议之上，主要主要分为三部分：请求行、请求头、请求体。

请求行

第一行，包含三个信息：请求方式，url，http协议版本

对应下面的：GET /books/?sex=man&name=Professional HTTP/1.1
比如下面的GET请求（GET请求和POST请求是http进行通讯的两种不同的方式），在get请求参数如果包含&符号在发送请求时就会被当做参数的分隔符处理，比如请求参数：var url= "xxxx?name=" + "aaa&bbb" 期望的请求参数应该是name = aaa&bbb实际的请求参数会变成 name = aaa 和 bbb= 处理方法：在拼接参数的时候，使用 encodeURIComponent() 进行手动转义。var url= "xxxx?name=" + encodeURIComponent("aaa&bbb")。下面代码是发送http请求后能够获得的数据，

GET /books/?sex=man&name=Professional HTTP/1.1 //GET是请求方式、/books/? sex=man&name=Professional是url就是进行请求的网址、第三个是http协议的版本
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.6)
Gecko/20050225 Firefox/1.0.1
Connection: Keep-Alive

POST请求：

POST / HTTP/1.1 //POST是请求方式
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.6)
Gecko/20050225 Firefox/1.0.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 40
Connection: Keep-Alive

sex=man&name=Professional

GET请求和POST请求的区别：

① url可见性：get，参数url可见；post，url参数不可见。

② 数据传输上：get，通过拼接url进行传递参数；post，通过body体传输参数。

③ 缓存性：get请求是可以缓存的，post请求不可以缓存。

④ 后退页面的反应：get请求页面后退时，不产生影响，post请求页面后退时，会重新提交请求。

⑤ 传输数据的大小：get一般传输数据大小不超过2k-4k（根据浏览器不同，限制不一样，但相差不大），post请求传输数据的大小根据php.ini 配置文件设定，也可以无限大。

⑥ 安全性：这个也是最不好分析的，原则上post肯定要比get安全，毕竟传输参数时url不可见，但也挡不住部分人闲的没事在那抓包玩。安全性个人觉得是没多大区别的，防君子不防小人就是这个道理。对传递的参数进行加密，其实都一样。

本质区别： GET产生一个TCP数据包；POST产生两个TCP数据包。对于GET方式的请求，浏览器会把http header和data一并发送出去，服务器响应200（200是状态码，服务器返回数据）；而对于POST，浏览器先发送header，服务器响应100 continue，浏览器再发送data，服务器响应200 ok（返回数据）。

请求头：

浏览器向服务器发送一些状态数据，标识数据等等。一个信息一行，包括信息名：信息值按行分隔，注意： 请求头信息，需要使用一个空行结束！

User-Agent: firefox//表示发送请求的浏览器（请求代理端）是firefox
Host: shop.100.com//表示请求的主机域名（基于域名的虚拟主机就是靠这个头判断的）
Cookie:name=itcast//浏览器携带的cookie数据。
Content-Type: application/x-www-form-urlencoded
Content-Length: 40
Connection: Keep-Alive

请求主体：

请求代理端向服务器端，发送的请求数据！典型的就是POST形式发送的表单数据！get请求，没有请求主体部分！get数据是在请求行中的url上进行传递的！

http协议的响应

响应包括：响应行、响应头、响应体。

HTTP/1.1 200 0K
Date: Tue，19 Nov 2013 03:08:55 GMT
Server: Apache/2. 2.22 (Win32) PHP/5.3. 13
X- -Powered -By: PHP/5. 3.13
Content-Length: 16
Content- Type: text/html

响应行： 响应行包括：协议版本、状态码、状态消息。典型的状态码：1xx:消息、2xx:成功、3xx:请求被重定向、4xx:浏览器端错误、5xx:服务器端错误。比如：500 服务器内部错误、404 请求的页面没有找到、403 没有权限、200 请求成功。
响应头： Content-Type: text/html 内容类型，告知浏览器接下来发送的响应主体数据是什么格式！Content-Length: 响应主体数据的长度！Date: 响应的时间。GMT时间！
响应主体： 主要的响应数据，在浏览器的主体区域显示的数据都是相应主体！

HTTPS协议简介与原理

http协议是明文传输的，因此很容易被截取和解析，泄漏个人数据。https协议是在http和tcp之间多添加了一层，进行身份验证和数据加密。

HTTPS 原理

① 客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器
② 服务器从算法列表中选择一种加密算法，并将它和一份包含服务器公用密钥的证书发送给客户端；该证书还包含了用于认证目的的服务器标识，服务器同时还提供了一个用作产生密钥的随机数；
③ 客户端对服务器的证书进行验证（有关验证证书，可以参考数字签名），并抽取服务器的公用密钥；然后，再产生一个称作 pre_master_secret 的随机密码串，并使用服务器的公用密钥对其进行加密（参考非对称加 / 解密），并将加密后的信息发送给服务器。
④ 客户端与服务器端根据 pre_master_secret 以及客户端与服务器的随机数值独立计算出加密和 MAC密钥（参考 DH密钥交换算法）；
⑤ 客户端将所有握手消息的 MAC 值发送给服务器；
⑥ 服务器将所有握手消息的 MAC 值发送给客户端。

密码学基础

明文：明文指的是未被加密过的原始数据。
密文：明文被某种加密算法加密之后，会变成密文，从而确保原始数据的安全。密文也可以被解密，得到原始的明文。
密钥：密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥，分别应用在对称加密和非对称加密上。

对称加密：对称加密又叫做私钥加密，即信息的发送方和接收方使用同一个密钥去加密和解密数据。对称加密的特点是算法公开、加密和解密速度快，适合于对大数据量进行加密，常见的对称加密算法有DES、3DES、TDEA、Blowfish、RC5和IDEA。
其加密过程如下：明文 + 加密算法 + 私钥 => 密文
解密过程如下： 密文 + 解密算法 + 私钥 => 明文

对称加密中用到的密钥叫做私钥，私钥表示个人私有的密钥，即该密钥不能被泄露。
其加密过程中的私钥与解密过程中用到的私钥是同一个密钥，这也是称加密之所以称之为“对称”的原因。由于对称加密的算法是公开的，所以一旦私钥被泄露，那么密文就很容易被破解，所以对称加密的缺点是密钥安全管理困难。

非对称加密：非对称加密也叫做公钥加密。非对称加密与对称加密相比，其安全性更好。对称加密的通信双方使用相同的密钥，如果一方的密钥遭泄露，那么整个通信就会被破解。而非对称加密使用一对密钥，即公钥和私钥，且二者成对出现。私钥被自己保存，不能对外泄露。公钥指的是公共的密钥，任何人都可以获得该密钥。用公钥或私钥中的任何一个进行加密，用另一个进行解密。
被公钥加密过的密文只能被私钥解密，过程如下：
明文 + 加密算法 + 公钥 => 密文，密文 + 解密算法 + 私钥 => 明文
被私钥加密过的密文只能被公钥解密，过程如下：
明文 + 加密算法 + 私钥 => 密文，密文 + 解密算法 + 公钥 => 明文

由于加密和解密使用了两个不同的密钥，这就是非对称加密“非对称”的原因。
非对称加密的缺点是加密和解密花费时间长、速度慢，只适合对少量数据进行加密。
在非对称加密中使用的主要算法有：RSA、Elgamal、Rabin、D-H、ECC（椭圆曲线加密算法）等。

HTTPS建立的过程

服务器端的公钥和私钥，用来进行非对称加密

客户端生成的随机密钥，用来进行对称加密

一个HTTPS请求实际上包含了两次HTTP传输，可以细分为8步。
1.客户端向服务器发起HTTPS请求，连接到服务器的443端口

2.服务器端有一个密钥对，即公钥和私钥，是用来进行非对称加密使用的，服务器端保存着私钥，不能将其泄露，公钥可以发送给任何人。

3.服务器将自己的公钥发送给客户端。

4.客户端收到服务器端的证书之后，会对证书进行检查，验证其合法性，如果发现发现证书有问题，那么HTTPS传输就无法继续。严格的说，这里应该是验证服务器发送的数字证书的合法性，关于客户端如何验证数字证书的合法性，下文会进行说明。如果公钥合格，那么客户端会生成一个随机值，这个随机值就是用于进行对称加密的密钥，我们将该密钥称之为client key，即客户端密钥，这样在概念上和服务器端的密钥容易进行区分。然后用服务器的公钥对客户端密钥进行非对称加密，这样客户端密钥就变成密文了，至此，HTTPS中的第一次HTTP请求结束。

5.客户端会发起HTTPS中的第二个HTTP请求，将加密之后的客户端密钥发送给服务器。

6.服务器接收到客户端发来的密文之后，会用自己的私钥对其进行非对称解密，解密之后的明文就是客户端密钥，然后用客户端密钥对数据进行对称加密，这样数据就变成了密文。

7.然后服务器将加密后的密文发送给客户端。

8.客户端收到服务器发送来的密文，用客户端密钥对其进行对称解密，得到服务器发送的数据。这样HTTPS中的第二个HTTP请求结束，整个HTTPS传输完成。