Http协议和Https协议的对比

HTTP协议

Http是基于TCP/IP协议的应用程序协议，不包括数据包的传输，主要规定了客户端和服务器的通信格式，默认使用80端口。

Http协议的发展历史

1991年发布Http/0.9版本，只有Get命令，且服务端直返HTML格式字符串，服务器响应完毕就关闭TCP连接。

1996年发布Http/1.0版本：
优点：可以发送任何格式内容，包括文字、图像、视频、二进制。也丰富了命令Get，Post，Head。请求和响应的格式加入头信息。
缺点：每个TCP连接只能发送一个请求，而新建TCP连接的成本很高，导致Http/1.0新能很差。

1997发布Http/1.1版本，完善了Http协议，直至20年后的今天仍是最流行的版本。
优点：a. 引入持久连接，TCP默认不关闭，可被多个请求复用，对于一个域名，多数浏览器允许同时建立6个持久连接。
b. 引入管道机制，即在同一个TCP连接中，可以同时发送多个请求，不过服务器还是按顺序响应。
c. 在头部加入Content-Length字段，一个TCP可以同时传送多个响应，所以就需要该字段来区分哪些内容属于哪个响应。
d. 分块传输编码，对于耗时的动态操作，用流模式取代缓存模式，即产生一块数据，就发送一块数据。
e. 增加了许多命令，头信息增加Host来指定服务器域名，可以访问一台服务器上的不同网站。
缺点：TCP连接中的响应有顺序，服务器处理完一个回应才能处理下一个回应，如果某个回应特别慢，后面的请求就会排队等着（对头堵塞）。

2015年发布Http/2版本，它有几个特性：二进制协议、多工、数据流、头信息压缩、服务器推送。

Http请求和响应格式
Request格式：
GET /barite/account/stock/groups HTTP/1.1
QUARTZ-SESSION: MC4xMDQ0NjA3NTI0Mzc0MjAyNg.VPXuA8rxTghcZlRCfiAwZlAIdCA
DEVICE-TYPE: ANDROID
API-VERSION: 15
Host: shitouji.bluestonehk.com
Connection: Keep-Alive
Accept-Encoding: gzip
User-Agent: okhttp/3.10.0
Response格式：
HTTP/1.1 200 OK
Server: nginx/1.6.3
Date: Mon, 15 Oct 2018 03:30:28 GMT
Content-Type: application/json;charset=UTF-8
Pragma: no-cache
Cache-Control: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Content-Encoding: gzip
Transfer-Encoding: chunked
Proxy-Connection: Keep-alive

{“errno”:0,“dialogInfo”:null,“body”:{“list”:[{“flag”:2,“group_id”:1557,“group_name”:“港股”,“count”:1},{“flag”:3,“group_id”:1558,“group_name”:“美股”,“count”:7},{“flag”:1,“group_id”:1556,“group_name”:“全部”,“count”:8}]},“message”:“success”}

说明一下请求头和响应头的部分字段：

Host：指定服务器域名，可用来区分访问一个服务器上的不同服务

Connection：keep-alive表示要求服务器不要关闭TCP连接，close表示明确要求关闭连接，默认值是keep-alive

Accept-Encoding：说明自己可以接收的压缩方式

User-Agent：用户代理，是服务器能识别客户端的操作系统（Android、IOS、WEB）及相关的信息。作用是帮助服务器区分客户端，并且针对不同客户端让用户看到不同数据，做不同操作。

Content-Type：服务器告诉客户端数据的格式，常见的值有text/plain，image/jpeg，image/png，video/mp4，application/json，application/zip。这些数据类型总称为MIME TYPE。

Content-Encoding：服务器数据压缩方式
Transfer-Encoding：chunked表示采用分块传输编码，有该字段则无需使用Content-Length字段。
Content-Length：声明数据的长度，请求和回应头部都可以使用该字段。

Https协议/SSL协议

Https协议是以安全为目标的Http通道，简单来说就是Http的安全版。主要是在Http下加入SSL层（现在主流的是SLL/TLS），SSL是Https协议的安全基础。Https默认端口号为443。
前面介绍了Http协议，各位同学能说出Http存在的风险吗？
窃听风险：Http采用明文传输数据，第三方可以获知通信内容
篡改风险：第三方可以修改通信内容
冒充风险：第三方可以冒充他人身份进行通信

SSL/TLS协议就是为了解决这些风险而设计，希望达到：
所有信息加密传输，三方窃听通信内容
具有校验机制，内容一旦被篡改，通信双发立刻会发现
配备身份证书，防止身份被冒充

下面主要介绍SSL/TLS协议。
SSL发展史（互联网加密通信）
1994年NetSpace公司设计SSL协议（Secure Sockets Layout）1.0版本，但未发布。
1995年NetSpace发布SSL/2.0版本，很快发现有严重漏洞
1996年发布SSL/3.0版本，得到大规模应用
1999年，发布了SSL升级版TLS/1.0版本，目前应用最广泛的版本
2006年和2008年，发布了TLS/1.1版本和TLS/1.2版本
SSL原理及运行过程

SSL/TLS协议基本思路是采用公钥加密法（最有名的是RSA加密算法）。大概流程是，客户端向服务器索要公钥，然后用公钥加密信息，服务器收到密文，用自己的私钥解密。
为了防止公钥被篡改，把公钥放在数字证书中，证书可信则公钥可信。公钥加密计算量很大，为了提高效率，服务端和客户端都生成对话秘钥，用它加密信息，而对话秘钥是对称加密，速度非常快。而公钥用来机密对话秘钥。
Http协议和Https协议的对比
Http和Https的区别如下：
https协议需要到CA申请证书，大多数情况下需要一定费用
Http是超文本传输协议，信息采用明文传输，Https则是具有安全性SSL加密传输协议
Http和Https端口号不一样，Http是80端口，Https是443端口
Http连接是无状态的，而Https采用Http+SSL构建可进行加密传输、身份认证的网络协议，更安全。
Http协议建立连接的过程比Https协议快。因为Https除了Tcp三次握手，还要经过SSL握手。连接建立之后数据传输速度，二者无明显区别。