HTTP/HTTPS简介

• HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写，是用于从万维网（WWW:World Wide Web）服务器传输超文本到本地浏览器的传输协议。
• HTTP是一个基于TCP/IP通信协议来传递数据（HTNL文件、图片文件、查询结果等），是一个应用层协议。
• HTTPS协议收HyperText Transfer Protocol Secure（超文本传输安全协议）的缩写。是一种通过计算机网络进行安全通信的传输协议。
• HTTPS是在HTTP协议上，增加SSL/TLS来加密数据包，HTTPS开放的主要目的是提供网络服务器的身份认证，保护通信双方传输数据完整性、保密性。
• HTTP默认端口为80，HTTPS默认端口为443。

HTTP工作原理

1. HTTP协议工作架构为客服端-服务端，其中浏览器为HTTP客服端通过URL向HTTP服务端发送所有请求。
2. WEB服务器接收到浏览器发来的请求后，向客服端发送响应信息。
3. HTTP默认端口为80，可以更改为其他端口。

注意事项

• HTTP是无连接的：无连接的含义是限制每次连接只处理一个请求，服务器收到客户的请求，然后返回给客户端响应，即断开连接，该方式可以节省传输时间
• HTTP 是媒体独立的：这意味着，只要客户端和服务器知道如何处理的数据内容，任何类型的数据都可以通过HTTP发送，客户端以及服务器指定使用适合的 MIME-type 内容类型。
• HTTP是无状态：HTTP协议是无状态协议，无状态是指协议对于事务处理没有记忆能力，缺少状态意味着如果后续处理需要前面的通信，则它必须重传，这样可能导致每次连接传递数据量增大，也就是说下次客服端再次连接服务器，服务器不知道该客户端是上次请求的用户。

HTTPS作用

HTTPS的主要作用是在不安全的网络上创建一个安全信道，对窃听和中间人攻击提供合理的防护。HTTPS的信任基于预先安装在操作系统中的证书颁发机构（CA）。

• 浏览器正确实现HTTPS并且操作系统中安装了正确并受信任的证书颁发机构。
• 证书颁发机构仅信任合法的网站。
• 被访问的网站提供了一个有效的证书，也就是说它是一个由操作系统信任的证书颁发机构签发的。
• 该证书正确地验证了被访问的网站。
• 此协议的加密层（SSL/TLS）能够有效地提供认证和高强度的加密。

HTTPS默认工作在TCP协议443端口，它的工作流程一般如下方式：

1. TCP三次同步握手
2. 客户端验证服务器数字证书
3. DH算法协商对称加密算法的秘钥、hash算法的秘钥
4. SSL安全加密隧道协商完成
5. 网页以加密的方式传输，用协商的对称加密算法加密和秘钥加密，保证数据机密性；用协商的hash算法进行数据完整性保护，保护数据不被篡改。

HTTP与HTTPS区别

• HTTP明文传输，数据都是未加密的，安全性较差，HTTPS（SSL+HTTP）数据传输过程是加密的，安全性较好。
• 使用HTTPS协议需要到CA（Certificate Authority,数字证书认证机构）申请证书，一般免费证书较少，因而需要一定费用。
• HTTP页面响应比HTTPS快，主要是因为HTTP使用TCP三层握手建立连接，客户端和服务器需要交换3个包，而HTTPS除了TCP的三个包，还要加上SSL握手包需要9个包，所有一共是12个包。
• HTTP和HTTPS使用的是完全不同的连接方式，用的端口也不一样，前者端口80，红着脸是443。
• HTTPS其实就是构建在SSL/TLS之上的HTTP协议，所以，要比较HTTPS比HTTP要更加消耗服务器资源。

TCP三次握手过程图

HTTPS工作原理图

HTTPS工作原理

1. 浏览器将自己支持的一套加密规则发送给网站。
2. 网站从中选出一组加密算法与HASH算法，并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址，加密公钥，以及证书的颁发机构等信息。
3. 浏览器获得网站证书之后需要做的工作
   • 验证证书的合法性（颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等），如果证书受信任，则浏览器里面会显示一个小锁头，否则会给出证书不受信的提示。
   • 如果证书受信任，或者是用户接受了不受信任的证书，浏览器会生成一窜随机数的密码，并用证书中提供的公钥加密。
   • 使用约定好的HASH算法计算握手消息，并使用生成的随机数对消息进行加密，最后将之前的所有信息发送给网站。
4. 网站接收浏览器发来的数据之后要做以下操作：
   • 使用自己的私钥将信息解密取出密码，使用密码解码浏览器发来的握手消息，并验证HASH是否与浏览器发来的一致。
   • 使用密码加密一段握手消息，发送给浏览器。
5. 浏览器解密并计算握手消息的HASH，如果与浏览器发来的HASH一致，此时握手过程结束，之后所有的通信数据将由之前浏览器生成的随机密码并利用对称密码算法进行加密

这里浏览器与网站互相发送加密的握手消息并验证，目的是为了保证双方都获得了一致的密码，并且可以正常的加密解密数据，为后续真正数据的传输做一次测试。另外，HTTPS一般使用的加密与HASH算法如下：

• 非对称算法：RSA、DSA/DSS
• 对称算法：AES,RC4,3DES
• HASH算法：MD5,SHA1,SHA256

HTTPS通信图

HTTP消息结构

• 客户端请求消息
  请求包格式：请求行（request line）、请求头部（header）、空行和请求数据四部分组成
  消息报格式：状态行、消息报头、空格和响应正文
• HTTP协议的8种请求类型
  • OPTIONS：返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送'*'的请求来测试服务器的功能性。
  • GET：向特定的资源发出请求
  • POST：向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被包含在请求体中。POST请求可能会导致新的资源的创建和/或已有资源的修改。
  • PUT：向指定资源位置上传其最新内容。
  • DELETE：请求服务器删除 Request-URI 所标识的资源。
  • TRACE：回显服务器收到的请求，主要用于测试或诊断。
  • CONNECT：HTTP/1.1 协议中预留给能够将连接改为管道方式的代理服务器。
  • HEAD：向服务器索要与GET请求相一致的响应，只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下，就可以获取包含在响应消息头中的元信息。