http协议与https协议

一、http协议简介

Hyper Text Transfer Protocol (超文本传输协议)
用于万维网服务器传输超文本到本地服务器的传送协议
HTTP协议是基于TCP的引用层协议，它不关心数据传输的细节，主要是用来规定客户端和服务器端的数据传输格式。最初是用来向客户端传输HTML页面的内容，默认端口是80
http是基于请求与响应模式的、无状态的、应用层的协议
无状态就是服务器不知道http的状态，就是不知道是谁在请求我

HTTP请求报文

|
上面请求行那句话那里，如果是get请求方法，是空两行的。如果是post请求方法，就空一行。

请求行里面的元素

（1）请求方法

根据HTTP标准，HTTP请求可以使用多种请求方法。

HTTP1.0定义了三种请求方法： GET, POST 和 HEAD方法。

HTTP1.1新增了五种请求方法：OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。

（2）URL

（3）请求头

响应报文

与请求报文非常类似

响应行里面的元素

（1）协议版本

一般简单知道http1.0 http1.1 http2.0就行了

HTTP/1.0 每次请求都需要建立新的TCP连接，连接不能复用。HTTP/1.1 新的请求可以在上次请求建立的

TCP连接之上发送，连接可以复用。优点是减少重复进行TCP三次握手的开销，提高效率。注意：在同一个TCP连

HTTP1.0定义了三种请求方法： GET, POST 和 HEAD方法。

HTTP1.1新增了五种请求方法：OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法

http 2.0

有了多路复用 (Multiplexing)和首部压缩（Header Compression）的功能

（2）状态码 和状态码描述符

常见的状态码
200 成功处理了请求，一般情况下都是返回此状态码

204 无内容。服务器成功处理，但未返回内容。在未更新网页的情况下，可确保浏览器继续显示当前文档

304 （未修改） 自从上次请求后，请求的网页未修改过。 服务器返回此响应时，不会返回网页内容

400 服务器不理解请求的语法。

401 请求要求身份验证。 对于需要登录的网页，服务器可能返回此响。

403 服务器拒绝请求

404 服务器找不到请求的网页。

500 （服务器内部错误） 服务器遇到错误，无法完成请求。

502 （错误网关） 服务器作为网关或代理，从上游服务器收到无效响应

503 （服务不可用） 服务器目前无法使用（由于超载或停机维护）。 通常，这只是暂时状态

响应头

响应体

就是HTML文档，没什么好说的

二、HTTP与HTTPS的简介

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息，HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，HTTP协议不适合传输一些敏感信息，比如：信用卡号、密码等支付信息。

为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS，为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

1、https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。

2、http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。

3、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

4、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

三、SSL

定义：

SSL(Secure
Sockets Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

SSL证书是数字证书(数字证书包括：SSL证书、客户端证书、代码签名证书等)的一种，因为配置在服务器上也称为服务器SSL证书。SSL证书就是遵守SSL协议，由受信任的数字证书颁发机构CA(如沃通CA)在验证服务器身份后颁发的一种数字证书。

作用：

(1)网站实现加密传输

用户通过http协议访问网站时，浏览器和服务器之间是明文传输，这就意味着用户填写的密码、帐号、交易记录等机密信息都是明文，随时可能被泄露、窃取、篡改，被黑客加以利用。

SSL证书有什么作用?网站安装SSL证书后，使用https加密协议访问网站，可激活客户端浏览器到网站服务器之间的"SSL加密通道"(SSL协议)，实现高强度双向加密传输，防止传输数据被泄露或篡改。

(2)认证服务器真实身份

SSL证书有什么作用?钓鱼欺诈网站泛滥，用户如何识别网站是钓鱼网站还是安全网站?网站部署全球信任的SSL证书后，浏览器内置安全机制，实时查验证书状态，通过浏览器向用户展示网站认证信息，让用户轻松识别网站真实身份，防止钓鱼网站仿冒。

四、加密方式

加密方式有两种：对称加密和非对称加密

对称加密

对称加密的原理：加密算法是公开的，靠的是秘钥来加密数据，使用一个秘钥加密，使用相同的秘钥解密。

常用的对称加密算法有：DES，3DES，AES

     DES对于当代计算机破解来说不算很慢，3DES相当于DES做了三次，AES是目前比较难以破解的算法

加密算法的优点：计算量比较小，加密和解密的速度比较快，适合加密比较大的数据。

               的缺点：秘钥的传输容易暴露。一个用户需要对应一个秘钥，服务器管理一群秘钥比较麻烦。

非对称加密

     非对称加密的原理：算法公开，有一个公钥（public key）和一个私钥（private key）

公钥加密只能私钥解密；私钥加密只能公钥加密

     加密和解密使用不同的钥匙，所以叫做非对称加密。

     非对称加密常用算法:RSA

     加密算法的优点：加密和解密使用不同的钥匙，可以传输公钥，数据传输时安全的。

                        的缺点：计算量大，加密和解密的速度比较慢

五、https的工作原理

文字流程：

1. 客户端向服务器发起HTTPS请求，连接到服务器的443端口

2. 服务器收到请求后，发送SSL数字证书，就是公钥A和服务器身份识别信息

3. 客户端验证公钥A，如果安全就生成一组随机数，用公钥加密传输给服务器。

4. 服务器收到密文后就用私钥解密。

5. 这段随机数就是他们后来对称加密的密钥。

6. 注意：这里有两次HTTP的传输，第一段是公钥私钥的部分，第二段是对称加密验证完成并发送数据的部分。

六、https的 优缺点

优点：
缺点：