Http和Https详解

Http

• 超文本传送协议，HTTP协议作为TCP/IP模型中应用层的协议。HTTP协议通常承载于TCP协议之上，有时也承载于TLS或SSL协议层之上，这个时候，就成了我们常说的HTTPS。如下图：
• https://blog.csdn.net/xiaoming100001/article/details/81109617
  
• HTTP是一个应用层协议，由请求和响应构成，是一个标准的客户端服务器模型。HTTP是一个无状态的协议。
• HTTP默认的端口号为80，HTTPS的端口号为443；

Http特点

• 简单快速：客户向服务器请求服务时，只需传送请求方法和路径。由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快。

• 灵活：HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。

• HTTP 0.9和1.0使用非持续连接：限制每次连接只处理一个请求，服务器处理完客户的请求，并收到客户的应答后，即断开连接。HTTP 1.1使用持续连接：不必为每个web对象创建一个新的连接，一个连接可以传送多个对象，采用这种方式可以节省传输时间。

• 无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。另一方面，在服务器不需要先前信息时它的应答就较快。

• 支持B/S及C/S模式。即浏览器/服务器模式和客户端/服务端模式。

Http处理流程

• 首先客户机与服务器需要建立连接。只要单击某个超级链接，HTTP的工作开始。

• 建立连接后，客户机发送一个请求给服务器，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是MIME信息包括请求修饰符、客户机信息和可能的内容（请求报文发送给服务器）。

• 服务器接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括服务器信息、实体信息和可能的内容（服务器发送响应报文）。

• 客户端接收服务器所返回的信息通过浏览器显示在用户的显示屏上，然后客户机与服务器断开连接。

请求报文格式

客户端发送一个HTTP请求到服务器的请求消息包括以下格式：
请求行、请求头部、空行和请求数据四个部分组成。
（1）Get报文

• 请求行：请求行，用来说明请求类型,要访问的资源以及所使用的HTTP版本.
• 请求头部，紧接着请求行（即第一行）之后的部分，用来说明服务器要使用的附加信息
• 空行
• 请求数据也叫主体，可以添加任意的其他数据。（Get报文的请求数据为空）
  （2）Post报文
  
  第一部分：请求行，第一行明了是post请求，以及http1.1版本（没有请求资源）。
  第二部分：请求头部
  第三部分：空行，第七行的空行。
  第四部分：请求数据，第八行（有请求数据）。

Http响应报文

一般情况下，服务器接收并处理客户端发过来的请求后会返回一个HTTP的响应消息。
HTTP响应也由四个部分组成，分别是：状态行、消息报头、空行和响应正文。

• 第一部分：状态行，由HTTP协议版本号， 状态码， 状态消息 三部分组成。
• 第二部分：消息报头，用来说明客户端要使用的一些附加信息
• 第三部分：空行，消息报头后面的空行是必须的
• 第四部分：响应正文，服务器返回给客户端的文本信息。空行后面的html部分为响应正文。

http状态码

1xx：指示信息–表示请求已接收，继续处理

2xx：成功

3xx：重定向

4xx：客户端错误

5xx：服务器端错误

Http请求方式

以下是 HTTP 请求/响应的步骤：

1、客户端连接到Web服务器
一个HTTP客户端，通常是浏览器，与Web服务器的HTTP端口（默认为80）建立一个TCP套接字连接。
2、发送HTTP请求
通过TCP套接字，客户端向Web服务器发送一个文本的请求报文，一个请求报文由请求行、请求头部、空行和请求数据4部分组成。
3、服务器接受请求并返回HTTP响应
Web服务器解析请求，定位请求资源。服务器将资源复本写到TCP套接字，由客户端读取。一个响应由状态行、响应头部、空行和响应数据4部分组成。
4、释放连接TCP连接
若connection 模式为close，则服务器主动关闭TCP连接，客户端被动关闭连接，释放TCP连接;若connection 模式为keepalive，则该连接会保持一段时间，在该时间内可以继续接收请求;
5、客户端浏览器解析HTML内容
客户端浏览器首先解析状态行，查看表明请求是否成功的状态代码。然后解析每一个响应头，响应头告知以下为若干字节的HTML文档和文档的字符集。客户端浏览器读取响应数据HTML，根据HTML的语法对其进行格式化，并在浏览器窗口中显示。
面试题：针对无状态的一些解决策略？
1、 通过Cookie/Session技术
2、 HTTP/1.1持久连接（HTTP keep-alive）方法，只要任意一端没有明确提出断开连接，则保持TCP连接状态，在请求首部字段中的Connection: keep-alive即为表明使用了持久连接

Https

概念

HTTPS是一种通过计算机网络进行安全通信的传输协议，经由HTTP进行通信，利用SSL/TLS建立全信道，加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证，同时保护交换数据的隐私与完整性。（
PS:TLS是传输层加密协议，前身是SSL协议。

特点

• 内容加密：采用混合加密技术，中间者无法直接查看明文内容
• 验证身份：通过证书认证客户端访问的是自己的服务器
• 保护数据完整性：防止传输的内容被中间人冒充或者篡改

原理

客户端在使用HTTPS方式与Web服务器通信时有以下几个步骤，如图所示。

（1）客户使用https的URL访问Web服务器，要求与Web服务器建立SSL连接。

（2）Web服务器收到客户端请求后，会将网站的证书信息（证书中包含公钥）传送一份给客户端。

（3）客户端的浏览器与Web服务器开始协商SSL连接的安全等级，也就是信息加密的等级。

（4）客户端的浏览器根据双方同意的安全等级，建立会话密钥，然后利用网站的公钥将会话密钥加密，并传送给网站。

（5）Web服务器利用自己的私钥解密出会话密钥。

（6）Web服务器利用会话密钥加密与客户端之间的通信。

• client向server发送请求https://baidu.com，然后连接到server的443端口。
• 服务端必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面，这套证书其实就是一对公钥和私钥。
• 传送证书
  这个证书其实就是公钥，只是包含了很多信息，如证书的颁发机构，过期时间、服务端的公钥，第三方证书认证机构(CA)的签名，服务端的域名信息等内容。
• 客户端解析证书
  这部分工作是由客户端的TLS来完成的，首先会验证公钥是否有效，比如颁发机构，过期时间等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。如果证书没有问题，那么就== 生成一个随即值（秘钥）。然后用证书对该随机值进行加密==。
• 传送加密信息
  这部分传送的是用证书加密后的秘钥，目的就是让服务端得到这个秘钥，以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。
• 服务段加密信息
  服务端用私钥解密秘密秘钥，得到了客户端传过来的私钥，然后把内容通过该值进行对称加密。
• 传输加密后的信息
  这部分信息是服务端用私钥加密后的信息，可以在客户端被还原。
• 客户端解密信息
  客户端用之前生成的私钥解密服务端传过来的信息，于是获取了解密后的内容

面试题 Http 和Https的区别
HTTPS和HTTP的区别主要如下：
　　1、https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。
　　2、http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。
　　3、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。
　　4、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。
面试题 ：一个URL请求的全程
（1）客户端输入URL回车，DNS解析域名得到服务器的IP地址，服务器在80端口监听客户端请求，端口通过TCP/IP协议（可以通过Socket实现）建立连接。HTTP属于TCP/IP模型中的应用层协议，所以通信的过程其实是对应数据的入栈和出栈。


转自：https://blog.csdn.net/xiaoming100001/article/details/81109617