一、HTTP和HTTPS发展历史
http2:多路复用
通过单一的HTTP/2连接请求发起多重的请求-响应消息,多个请求stream共享一个TCP连接,实现多路并行而不是依赖建立多个TCP连接。
1.1、HTTP报文格式
请求报文:
方法 GET/POST
版本 HTTP/1.1
实体主体 针对POST请求才会放置
二、HTTP vs HTTPS
2.1 http特点:
1.无状态:协议对客户端没有状态存储,比如登录一个网站需要反复进行登录操作
2.无连接:http1.1之前,由于无状态 特点,每次请求需要通过tcp三次握手四次挥手,和服务器重新建立连接。比如某个客户机在短时间内多次请求同一个资源,服务器并不能区别是否已经响应过用户 的需求,所以每次需要重新响应请求,需要耗费不必要的时间和流量。
3. 简单快速、灵活
4. 通信使用明文,请求和响应不会对通信方式进行确认,无法保护数据的完整性。
2.2 针对无状态的一些解决策略:
场景:电商商城用户需要使用的时间比较长,需要对用户一段时间的http通信状态进行保存。比如执行依次登录操作,在30分钟内所有的请求都不需要再次登录。
(1)通过cookie / session 技术
(2)HTTP/1.1持久连接(HTTP keep-alive)方法,只要任意一端没有没有明确提出断开连接,则保持tcp连接状态,在请求首部字段中的Connection: keep-alive即为表明使用了持久连接。
2.3 HTTPS特点
基于http协议,通过SSL或TLS提供加密处理数据、验证对方身份以及数据完整性保护。
https有如下特点:
(1)内容加密:采用混合加密技术,中间者无法直接查看明文内容
(2)验证身份:通过证书认证客户端访问的是自己的服务器
(3)保护数据完整性:防止传输的内容被中间人冒充或篡改。
三、HTTP通信传输
四、HTTPS实现原理
对称加密:
密钥K,需要加密的数据data,X表示加密后的密文。密钥K只有一个
f1(K, data) = X (加密)
f2(K, X) = data (解密)
非对称加密:
公钥 pk,需要加密的数据data,加密得到的密文Y;
私钥 sk
f(pk, data) = Y (加密)
f(sk, Y) = data (解密)
或者:
f(sk, data) = Y' (加密)
f(pk, Y') = data (解密)
HTTPS传输过程:服务端存有私钥和公钥。pk所有人都可以拿到,sk只有服务端持有。
1.客户端发送请求,向服务器端索要公钥;
2.客户端向服务器端传输经过公钥加密后的数据Y;
3.服务端使用sk将密文Y解密,得到原数据data。
服务端如何向客户端发送数据呢?
服务端肯定是不能使用公钥对数据进行加密,因为只有私钥才能对密文进行解密,而客户端是没有私钥的。
而假如服务端使用私钥对数据进行加密成Y',然后将Y'传给客户端,那么就存在一个问题:黑客也可以拿到公钥然后对密文进行解密获得data。所以,行不通!
那么,有一种方法:对称 + 非对称
存在的风险:中间人问题
小结:
对称加密 -- key唯一,相当于明文
非对称加密 -- S -> C不安全
对称 + 非对称 -- 中间人问题
解决方案:
引入CA,经过颁发机构认证的公钥才认为是合法的公钥,其它的公钥都认为是黑客的公钥。
CA : cpk、csk
License = f(csk, pk) ,也就是利用ca的私钥对server端的公钥进行非对称加密得到License
客户端向服务端请求License数字证书,客户端只需要拿到cpk对License进行解密就可以获得原数据pk。
客户端浏览器保存有大量CA机构的公钥cpk。