為什么有的網(wǎng)站用HTTP，有的網(wǎng)站用HTTPS？如果你注意的話，還可以看到HTTP跳轉(zhuǎn)到了HTTPS。為什么呢？今天，我們將學(xué)習(xí)http和https的區(qū)別。

 

HTTP:是互聯(lián)網(wǎng)上使用最廣泛的網(wǎng)絡(luò)協(xié)議。它是客戶端和服務(wù)器之間的請(qǐng)求和響應(yīng)標(biāo)準(zhǔn)。它是一種將超文本從萬維網(wǎng)服務(wù)器傳輸?shù)奖镜貫g覽器的傳輸協(xié)議。它可以提高瀏覽器的效率，減少網(wǎng)絡(luò)傳輸。

 

HTTPS:這是一個(gè)以安全為目標(biāo)的HTTP通道。簡(jiǎn)單來說就是HTTP的安全版本，也就是在HTTP下增加了SSL層。HTTPS的安全基礎(chǔ)是SSL，所以加密的細(xì)節(jié)需要SSL。

 

HTTP的特點(diǎn)是什么？

 

1.基于請(qǐng)求和響應(yīng):基本特征，客戶端發(fā)起請(qǐng)求，服務(wù)器響應(yīng)。

 

2.無狀態(tài):協(xié)議沒有客戶端的狀態(tài)存儲(chǔ)，也沒有事務(wù)處理的“內(nèi)存”能力。例如，訪問網(wǎng)站需要重復(fù)的登錄操作。

 

3.簡(jiǎn)單、快速、靈活，通信使用明文，請(qǐng)求和響應(yīng)不會(huì)確認(rèn)通信方，數(shù)據(jù)完整性無法保護(hù)。

 

4.無連接:由于無狀態(tài)特性，每個(gè)請(qǐng)求需要通過TCP三次握手揮動(dòng)四次才能重新建立與服務(wù)器的連接。例如，如果客戶端在短時(shí)間內(nèi)多次請(qǐng)求相同的資源，服務(wù)器無法區(qū)分它是否已經(jīng)響應(yīng)了用戶的請(qǐng)求，因此每次都需要花費(fèi)不必要的時(shí)間和流量來再次響應(yīng)請(qǐng)求。

 

下面是一個(gè)簡(jiǎn)單的數(shù)據(jù)包捕獲實(shí)驗(yàn)，用來觀察HTTP請(qǐng)求傳輸?shù)臄?shù)據(jù):

 

動(dòng)態(tài)IP模擬器

 

結(jié)果:通過HTTP協(xié)議傳輸?shù)臄?shù)據(jù)以明文形式顯示。

 

無國籍狀態(tài)的一些解決方案:

 

場(chǎng)景:訪問電商店鋪的用戶需要長(zhǎng)時(shí)間使用，需要將用戶的HTTP通訊狀態(tài)保存一段時(shí)間，比如執(zhí)行一次登錄操作，所有請(qǐng)求都不需要在30分鐘內(nèi)再次登錄。

 

1.通過Cookie/會(huì)話技術(shù)。

 

2.HTTP/1.1(HTTP keep-alive)方法，只要任一端沒有明確提出斷開，就會(huì)保持TCP連接狀態(tài)，請(qǐng)求頭字段中的Connection: keep-alive表示使用了持久連接。

 

HTTPS有什么特點(diǎn)？

 

基于HTTP協(xié)議，SSL或TLS提供數(shù)據(jù)加密、身份驗(yàn)證和數(shù)據(jù)完整性保護(hù)。

 

動(dòng)態(tài)IP模擬器

 

通過捕獲數(shù)據(jù)包，我們可以看到數(shù)據(jù)不是以明文傳輸?shù)?，HTTPS具有以下特征:

 

1.內(nèi)容加密:使用混合加密技術(shù)，中間不能直接查看明文內(nèi)容。

 

2.驗(yàn)證身份:通過證書驗(yàn)證的客戶端訪問自己的服務(wù)器。

 

3.保護(hù)數(shù)據(jù)完整性:防止傳輸?shù)膬?nèi)容被中間商冒充或篡改。

 

混合加密:結(jié)合非對(duì)稱加密和對(duì)稱加密技術(shù)?？蛻舳耸褂脤?duì)稱加密生成密鑰對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，然后使用非對(duì)稱加密公鑰對(duì)密鑰進(jìn)行加密，因此網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)都是用私鑰加密的密文和用公鑰加密的私鑰，所以即使被黑客截獲，由于沒有私鑰，也無法獲得加密明文的私鑰，無法獲得明文數(shù)據(jù)。

 

Numbers通過單向散列函數(shù)對(duì)原始文本進(jìn)行散列，并將待加密的明文摘要成一系列固定長(zhǎng)度的密文(如128bit)。不同明文抽象出來的密文結(jié)果總是不一樣的，同一明文的摘要一定是一致的，即使知道了摘要也無法推導(dǎo)出明文。

 

數(shù)字簽名技術(shù):數(shù)字簽名是基于公鑰加密系統(tǒng)，是公鑰加密技術(shù)的另一種應(yīng)用。它將公鑰加密技術(shù)與數(shù)字摘要相結(jié)合，形成一種實(shí)用的數(shù)字簽名技術(shù)。

 

接收者可以確認(rèn)發(fā)送者的真實(shí)身份；發(fā)件人不能拒絕隨后發(fā)送的郵件；接收者或非法者不能偽造或篡改信息。

 

動(dòng)態(tài)IP模擬器

 

非對(duì)稱加密過程需要公鑰進(jìn)行加密，那么公鑰從何而來呢？實(shí)際上，公鑰包含在數(shù)字證書中，通常由可信數(shù)字證書頒發(fā)機(jī)構(gòu)CA在驗(yàn)證服務(wù)器身份后頒發(fā)。證書包含密鑰對(duì)(公鑰和私鑰)和所有者標(biāo)識(shí)信息。數(shù)字證書放置在服務(wù)器上，具有服務(wù)器認(rèn)證和數(shù)據(jù)傳輸加密功能。

 

HTTP和HTTPS有什么區(qū)別？通過以上理解，我們可以深刻理解兩者的區(qū)別。簡(jiǎn)單地說，HTTPS是HTTP的安全版本。然而，由于HTTPS的技術(shù)和成本，HTTPS目前還沒有得到廣泛應(yīng)用。