【Java EE初阶二十二】https的简单理解

news2024/12/24 21:00:24

1. 初识https

         当前网络上,主要都是 HTTPS 了,很少能见到 HTTP.实际上 HTTPS 也是基于 HTTP.只不过 HTTPS 在 HTTP 的基础之上, 引入了"加密"机制;引入 HTTPS 防止你的数据被黑客篡改 ;

        HTTPS 就是一个重要的保护措施.之所以能够安全, 最关键的在于"加密”;

1.1 关于明文和密文

        明文:一般来说传递的原始全部信息称为明文;

        密文:通过一些手段对明文进行特殊处理获取到的真正想传输的内容信息为密文;

        一般来说,明文 + 密钥 => 密文;密文 + 密钥 => 明文;

1,2 秘钥加密方式

        在密码学中,使用密钥加密, 有两种主要的方式.

1、对称加密.

        加密和解密,使用的密钥是同一个密钥
        设密钥 为 key,则
        明文 + key => 密文;密文 + key =>明文

2、非对称加密.

        有两个密钥(一对),这俩密钥,一个称为“公钥”,一个称为"私钥"(公钥就是可以公开的,私钥就是自己藏好的),则规则如下:

        明文 + 公钥 => 密文,密文 + 私钥 =>明文或者

        明文 + 私钥 =>密文,密文 + 公钥 =>明文;

        主要就是用一个钥匙加密,就用另一个钥匙解密;

2. https的工作过程

        https工作目标是针对 HTTP 这里的 header 和 body 进行加密;

2.1 先引入对称加密

        详细的请求图解如下所示:

        

        上面的模型存在一个重要问题,服务器不是只和一个客户端通信, 而是和很多客户端通信,
这些客户端使用的对称密钥必须要求每个客户端的密钥都不相同,彼此之间才不能知道对方的密钥的;所以服务器就需要记录不同客户端的秘钥,如下所示:

        如上图所示,此时要求每个客户端对应的密钥都不同.现在就需要每个客户端,在和服务器建立连接的时候,就把密钥给生成出来 (涉及到一些随机数机制在里面,保证每个客广端生成的密钥都不同),客户端再把自己的密钥通过网络传输给服务器;

        秘钥被黑客截获之后的原理如下所示:

2.2 非对称加密

        为了解决上述安全传输密钥的问题,引入了"非对称加密”,非对称加密中,有一对密钥.公钥和私钥,可以使用公钥加密,私钥解密,或者使用私钥加密,公钥解密;其工作原理如下所示:

        既然已经引入了非对称加密,为啥还需要引入对称加密呢?
        一般来说直接使用非对称加密,来完成所有业务数据的加密传输即可,进行非对称加密/解密,运算成本是比较高的.运算速度也是比较低的.
        对称加密,运算成本低, 速度快.
        使用非对称加密,只是用来进行这种关键环节 (传输密钥)(一次性的工作,体积也不大),成本就比较可控
        后续要传输大量的业务数据,都使用效率更高的对称加密,比较友好的做法.如果业务数据都使用非对称加密,整体的传输效率就会大打折扣了. 

        上述的对称加密+非对称加密过程就是https的基本盘,但是上述的流程中还存在一个严重的问题,就是黑客如果利用好这个漏洞,任然可以获取到明文数据;

2.3 中间人攻击

        关于中间设备的入侵消息流程如下所示:

        q:如何解决上述 中间人攻击问题呢?

        a:之所以能进行中间人攻击,关键要点在于客户端没有"分辨能力,客户端不知道当前这个公钥是不是黑客伪造的!这里的"分辨”不能靠"自证”(谁都是说自己是真的),所以最好的方法就是引入第三方可以被大家都信任的"公证机构",公证机构说这个公钥是正确的,不是被伪造的,我们就是可以信任的;

2.4 使用证书,校验服务器的公钥

        关于公正机构何生成数字签名的流程如下图所示:

        如上图所示,客户端拿到了证书,也就拿到了证书中的公钥,客户端就需要验证这个公钥是否是服务器最初的公钥(是否是被黑客篡改了??),这个过程, 就称为"证书的校验";
        如何进行校验?

        其核心机制,就是"数字签名"=> 被加密后的校验和,(拿着数据的每个字节,带入公式,就能算出一个结果数字,称为校验和),此时, 客户端拿到了数字签名,就可以通过系统内置的公正机构的公钥,进行解密之后得到最初的校验和;客户端再重新计算一遍这里的校验和, 和解密出来的校验和进行对比,如果校验和一致,就可以认为证书没有被篡改过,公钥就是可信的 (服务器原始的公钥)

        故此在上述机制下,黑客就无法对证书内容进行篡改了.即使篡改,也很容易被发现.当黑客收到证书之后,如果直接修改里面的公钥,替换成自己的,客户端在进行证书校验的时候,就会发现校验和不一致了 ,随意客户端就可以认为证书是篡改过了.(客户端这边往往就会弹出一些对话框来警告用户,存在安全风险)

        q:那么黑客替换公钥之后,能否自己替换掉数字签名,自己计算一个呢?

        a:不能的!校验和好算,针对校验和加密,需要使用公证机构的私钥才能进行的,黑客没有这个私钥.如果黑客拿自己的私钥加密,客户端也就无法使用公证机构的公钥解密了,就有可能遇到这种情况,公证机构的公钥是客户端系统自带的,黑客也无法替换,

        结合上述过程,证书就是可信的,通过了校验,就说明公钥就是服务器原始的公钥了

3. Tomcat

        tomcat是HTTP 服务器,使用 HTTP 进行通信,就需要涉及到 HTTP 客户端 和 HTTP 服务器

        HTTP 客户端:浏览器,Postman,爬虫程序等;

        HTTP 服务器:已经有现成的 http 服务器, 咱们只需要去使用或者基于这些 http 服务器进行二次开发即可,人家的代码已经把如何处理 http 请求,如何构造 http 响应都封装好了,咱们只需要调用这些 api 来构造咱们的业务逻辑即可(即自己制作一个相应的网站);

3.1 下载tomact

        1、进入官网

        2、选择 Tomcat8 系列版本

        3、下载压缩包

        4、直接使用即可

3.2 认识tomcat

        Tomcat 是一个 Java 写的 http 服务器,Tomcat 是一个基于 java 实现的"绿色软件",只要解压缩,就可以使用.(需要提前安装好 JDK);下面认识一下关于tomcat文件夹里的相关文件及其作用;

1、bin目录

        双击上述 startup.bat,就可以启动 tomcat,最终的 tomcat 就是一个控制台程序了故服务器开发的话,服务器基本上都是控制台程序,(一般来说都是不带界面的)

        关于tomcat启动失败的几个原因如下所示:

把 startup.bat 拖到 cmd 中运行,如果闪退,大概率 cmd 中能显示出出错信息

        1)、端口被占用了

        (已经启动 tomcat, 再启动第二个),或者电脑上可能装了其他的程序也占用了 8080(像Windows自带的 HTTP 服务器, lS)

        2)、环境变量问题

         (可能是 tomcat 找不到 jdk, 也可能是 tomcat 找不到自己所在的目录),提示是缺哪个环境变量,就配置上即可.

        Tomcat 启动成功之后,就可以通过浏览器来访问 tomcat 的欢迎页面.

        

        tomcat 的日志,在控制台中,可能是乱码的,主要原因是Tomcat 默认使用的字符集是 utf8
而 windows cmd 的字符集是 gbk.

2、关于conf

        conf 中放的是 tomcat 的配置文件,一个程序的功能可能是非常丰富的.就需要按需开启这里的某些功能.给程序猿使用的专业程序,一般很少会专门做一个界面,来让大家修改配置,我们一般就都是通过配置文件的方式来进行设置的;

3、关于log

        日志是调试一个服务器程序最重要的手段.我们后续自己写的程序,代码中打印的日志,就可以在上述目录中看到;

        日志,就是通过 System.out.printin 等方式打印的一些字符串.调试程序,就是使用调试器,打断点,单步执行;调试器不适合给服务器程序使用.给程序打个断点,服务器运行到断点,停下来了.(服务器就卡着了)此时此刻,其他客户端的请求可能就无法被响应了;

        使用调试器的本质上是
        1、更好的理解程序的实际执行过程.
        2、更好的关注到某些临时结果(某个变量的中间的值)

        使用日志的缺点:使用日志调试,每一次添加或改动日志,都需要重新编译运行一次,这就会花费很多的时间;

4、关于webapps

        webapps 中,每个目录,都是一个 webapp (就包含了一个网站的后端代码和前端代码);

        这个目录中还能见到 .war 压缩包文件. war 包是使用 tomcat 发布程序的一种方式,写好的一个网站,就可以打包成 war 包,拷贝到 tomcat 的 webapp 里,tomcat 就会自动对 war包 进行解压缩,从而完成网站的部署和加载

        下面通过一个例子来感受一下tomcat:

        如上图所示,这就是 tomcat 的重要作用,可以让浏览器通过网络来访问到一个 html 页面.

        

        而上图所示,则是直接双击打开html页面,这个做法是让浏览器打开一个本地文件
和上面是有本质区别的;

        Tomcat 就像是一个"底座"一样,我们所编写的网站,都是要架到这个底座上,然后才能够被外面的用户顺利访问到;刚才只是在 tomcat 上放了一个简单的"静态网页",实际上 tomcat 还能支持"动态网页”,从而让程序猿写出更复杂的逻辑,功能更强大的页面;

3.3 静态网页和动态网页

        静态页面: 页面内容是固定的,如下图所示:

        动态页面: 根据用户输入的内容不同,产生出不同的结果

        如下图所示:

        

        综上所述,输入不同的内容,得到的页面结果;虽然内容不同,但是页面结构非常相似,简直是一个模子中刻出来"的一样;

        一个静态页面,就是一个单纯的 html;动态页面就要复杂一些,就需要在背后让程序猿来编写一些代码, 来描述一些逻辑,比如bilibili, 输入不同的词, 就需要检索出不同的数据.同时对于不同的用户,也就需要推荐出不同的感兴趣的内容.

        Tomcat 就是可以支持静态页面,也能支持动态页面;(Tomcat 提供了一组 api,封装了 HTTP 协议, 可以让程序猿更方便的去编写动态页面了,这组api被称为servlet

ps:本次的内容就到这里了,如果大家感兴趣的话,就请一键三连哦!!!

        

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1461844.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C#知识点-14(索引器、foreach的循环原理、泛型、委托)

索引器 概念:索引器能够让我们的对象,以索引(下标)的形式,便捷地访问类中的集合(数组、泛型集合、键值对) 应用场景: 1、能够便捷地访问类中的集合 2、索引的数据类型、个数、顺序不…

从源码解析Kruise(K8S)原地升级原理

从源码解析Kruise原地升级原理 本文从源码的角度分析 Kruise 原地升级相关功能的实现。 本篇Kruise版本为v1.5.2。 Kruise项目地址: https://github.com/openkruise/kruise 更多云原生、K8S相关文章请点击【专栏】查看! 原地升级的概念 当我们使用deployment等Wor…

vue:find查找函数实际开发的使用

find的作用: find 方法主要是查找数组中的属性,会遍历数组,对每一个元素执行提供的函数,直到找到使该函数返回 true 的元素。然后返回该元素的值。如果没有元素满足测试函数,则返回 undefined。 基础使用&#xff1a…

摄像头相机标定

相机标定 相机标定的目的有两个。 第一,要还原摄像头成像的物体在真实世界的位置就需要知道世界中的物体到计算机图像平面是如何变换的,相机标定的目的之一就是为了搞清楚这种变换关系,求解内外参数矩阵。 第二,摄像机的透视投影有…

linux下开发,stm32和arduino,我该何去何从?

linux下开发,stm32和arduino,我该何去何从? 在开始前我有一些资料,是我根据网友给的问题精心整理了一份「stm3的资料从专业入门到高级教程」, 点个关注在评论区回复“888”之后私信回复“888”,全部无偿共…

zemax消畸变目镜

用三胶合透镜代替了RKE的消色差双胶合镜,减少了横向色差和畸变 入瞳直径4mm波长0.51、0.56、0.61半视场22.5焦距28mm 镜头参数: 成像效果: 畸变效果: 点列图:

S281 LoRa网关助力智慧城市建设的智能交通管理

S281 LoRa网关作为智慧城市建设中的重要组成部分,发挥着关键的作用,特别是在智能交通管理方面。通过连接各类传感器设备和物联网终端,S281 LoRa网关实现了对城市交通系统的远程监控、智能调度和信息化管理,为城市交通管理部门提供…

UE5 摄像机晃动

1.新建camerashake蓝图类 命名为 晃动 2.调节相关参数 3.打开关卡序列 给摄像机添加 晃动 动画 4.播放

#gStore-weekly | workbench功能详解之知识更新

gStore workbench作为gStore的可视化管理工具,不仅提供了可视化查询功能,还提供了可视化的知识更新功能,用户可以在可视化界面上进行知识的新增、修改和删除等操作,让我们的知识管理更加清晰和便捷。 1.查询知识 登录workbenc…

新年伊始,VR全景释放“强信号”,可以结合哪些行业?

一年之计在于春,各行各业都想抢占在经济的第一线,那么如何抓住新一轮科技革命和产业变革新机遇呢?VR全景释放了“强信号”。对于大部分实体行业来说,都会有VR全景的制作需求,租房买房的,可能都见识过线上VR…

Manacher算法和扩展kmp

Manacher算法 a情况 b情况 具体例子 c情况 总结 代码 #include<iostream> #include<algorithm> #include<string> #include<cmath>using namespace std; const int N 1.1e7 1; char ss[N << 1]; int p[N << 1]; int n; void manacherss…

Qt应用-视频播放器实例

本文讲解Qt视频播放器应用实例。 实现功能 视频的播放暂停、拖动进度控制,声音控制播放列表控制播放区域的暂停控制,全屏控制等。 界面设计 <?xml version="1.0" encoding="UTF-8"?> <ui version="4.0"><class>frmVide…

c#高级-正则表达式

正则表达式是由普通字符和元字符&#xff08;特殊符号&#xff09;组成的文字形式 应用场景 1.用于验证输入的邮箱是否合法。 2.用于验证输入的电话号码是否合法。 3.用于验证输入的身份证号码是否合法。等等 正则表达式常用的限定符总结&#xff1a; 几种常用的正则简写表达式…

微服务篇之注册中心

一、eureka 1.eureka的作用 2.eureka工作流程 1. 服务提供者和服务消费者向注册中心注册服务信息&#xff0c;然后注册中心记录了对应的服务器地址。 2. 服务消费者从注册中心拉取服务提供者的信息。 3. 通过负载均衡找到对应的服务提供者地址。 4. 服务消费者远程调用对应的服…

评估睡眠阶段分类:年龄和早晚睡眠对分类性能的影响

摘要 睡眠阶段分类是专家用来监测人类睡眠数量和质量的常用方法&#xff0c;但这是一项耗时且费力的任务&#xff0c;观察者之间和观察者内部的变异性较高。本研究旨在利用小波进行特征提取&#xff0c;采用随机森林进行分类&#xff0c;寻找并评估一种自动睡眠阶段分类的方法…

C#知识点-13(进程、多线程、使用Socket实现服务器与客户端通信)

进程 定义&#xff1a;每一个正在运行的应用程序&#xff0c;都是一个进程 进程不等于正在运行的应用程序。而是为应用程序的运行构建一个运行环境 Process[] pros Process.GetProcesses();//获取电脑中所有正在运行的进程//通过进程&#xff0c;直接打开文件//告诉进程&…

ChatGPT丨成像光谱遥感技术中的AI革命:ChatGPT应用指南

遥感技术主要通过卫星和飞机从远处观察和测量我们的环境&#xff0c;是理解和监测地球物理、化学和生物系统的基石。ChatGPT是由OpenAI开发的最先进的语言模型&#xff0c;在理解和生成人类语言方面表现出了非凡的能力。本课程重点介绍ChatGPT在遥感中的应用&#xff0c;人工智…

前端构建效率优化之路

项目背景 我们的系统&#xff08;一个 ToB 的 Web 单页应用&#xff09;前端单页应用经过多年的迭代&#xff0c;目前已经累积有大几十万行的业务代码&#xff0c;30 路由模块&#xff0c;整体的代码量和复杂度还是比较高的。 项目整体是基于 Vue TypeScirpt&#xff0c;而构…

18. 四数之和 - 力扣(LeetCode)

问题描述 给你一个由 n 个整数组成的数组 nums &#xff0c;和一个目标值 target 。请你找出并返回满足下述全部条件且不重复的四元组 [nums[a], nums[b], nums[c], nums[d]] &#xff08;若两个四元组元素一一对应&#xff0c;则认为两个四元组重复&#xff09;&#xff1a; …

如何实现多级缓存?

冗余设计是在系统或设备完成任务起关键作用的地方&#xff0c;增加一套以上完成相同功能的功能通道&#xff08;or 系统&#xff09;、工作元件或部件&#xff0c;以保证当该部分出现故障时&#xff0c;系统或设备仍能正常工作&#xff0c;以减少系统或者设备的故障概率&#x…