HTTP与HTTPS

一、HTTP和HTTPS发展历史

http2：多路复用

通过单一的HTTP/2连接请求发起多重的请求-响应消息，多个请求stream共享一个TCP连接，实现多路并行而不是依赖建立多个TCP连接。

1.1、HTTP报文格式

请求报文：

方法 GET/POST

版本 HTTP/1.1

实体主体 针对POST请求才会放置

 

二、HTTP vs HTTPS

2.1 http特点：

1.无状态：协议对客户端没有状态存储，比如登录一个网站需要反复进行登录操作

2.无连接：http1.1之前，由于无状态 特点，每次请求需要通过tcp三次握手四次挥手，和服务器重新建立连接。比如某个客户机在短时间内多次请求同一个资源，服务器并不能区别是否已经响应过用户 的需求，所以每次需要重新响应请求，需要耗费不必要的时间和流量。

3. 简单快速、灵活

4. 通信使用明文，请求和响应不会对通信方式进行确认，无法保护数据的完整性。

2.2 针对无状态的一些解决策略：

场景：电商商城用户需要使用的时间比较长，需要对用户一段时间的http通信状态进行保存。比如执行依次登录操作，在30分钟内所有的请求都不需要再次登录。

（1）通过cookie / session 技术

（2）HTTP/1.1持久连接（HTTP keep-alive）方法，只要任意一端没有没有明确提出断开连接，则保持tcp连接状态，在请求首部字段中的Connection: keep-alive即为表明使用了持久连接。

2.3 HTTPS特点

基于http协议，通过SSL或TLS提供加密处理数据、验证对方身份以及数据完整性保护。

https有如下特点：

（1）内容加密：采用混合加密技术，中间者无法直接查看明文内容

（2）验证身份：通过证书认证客户端访问的是自己的服务器

（3）保护数据完整性：防止传输的内容被中间人冒充或篡改。

三、HTTP通信传输

四、HTTPS实现原理

对称加密：

密钥K，需要加密的数据data，X表示加密后的密文。密钥K只有一个

f1(K, data) = X (加密)

f2(K, X) = data  (解密)

非对称加密：

公钥 pk，需要加密的数据data，加密得到的密文Y；

私钥 sk

f(pk, data) = Y (加密)

f(sk, Y) = data (解密)

或者：
f(sk, data) = Y' (加密)

f(pk, Y') = data (解密)

HTTPS传输过程：服务端存有私钥和公钥。pk所有人都可以拿到，sk只有服务端持有。

1.客户端发送请求，向服务器端索要公钥；

2.客户端向服务器端传输经过公钥加密后的数据Y；

3.服务端使用sk将密文Y解密，得到原数据data。

服务端如何向客户端发送数据呢？

服务端肯定是不能使用公钥对数据进行加密，因为只有私钥才能对密文进行解密，而客户端是没有私钥的。

而假如服务端使用私钥对数据进行加密成Y'，然后将Y'传给客户端，那么就存在一个问题：黑客也可以拿到公钥然后对密文进行解密获得data。所以，行不通！

那么，有一种方法：对称 + 非对称

存在的风险：中间人问题

小结：

对称加密 -- key唯一，相当于明文

非对称加密 -- S -> C不安全

对称 + 非对称 -- 中间人问题

解决方案：

引入CA，经过颁发机构认证的公钥才认为是合法的公钥，其它的公钥都认为是黑客的公钥。

CA : cpk、csk

License = f(csk, pk) ，也就是利用ca的私钥对server端的公钥进行非对称加密得到License

客户端向服务端请求License数字证书，客户端只需要拿到cpk对License进行解密就可以获得原数据pk。

客户端浏览器保存有大量CA机构的公钥cpk。