HTTP和HTTPS协议(必备知识)

news2024/11/24 14:48:36

文章目录

  • 1、什么是HTTP协议
  • 2、HTTP协议格式
    • <1>HTTP请求方法
    • <2>HTTP的状态码
  • 3、HTTP是不保存状态的协议
    • <1>使用Cookie的状态管理
  • 3、HTTPS
    • <1>加密方式
    • <2>理解HTTPS加密过程

1、什么是HTTP协议

HTTP协议常被称为超文本传输协议,HTTP协议和TCP/IP协议族内的其他众多协议相同,用于客户端个服务端之间的通信。
在这里插入图片描述
在两台计算机之间使用HTTP协议通信时,在一条通信线路上必定有一端是客户端,另一端则是服务端。HTTP协议能够明确区分那端是客户端,哪端是服务端。请求必定由客户端发出,而服务端回复响应。换句话说肯定是先从客户端开始建立通信的,服务器端在没有收到请求之前不会发送响应。

认识URL
平时我们俗称的 “网址” 其实就是说的 URL

在这里插入图片描述

2、HTTP协议格式

请求报文和响应报文的结构。
在这里插入图片描述
无论请求还是响应,基本上HTTP都是按照行为单位进行构建请求或响应的,且无论是请求还是响应几乎都是由3或4部分组成(有无正文)。

实际请求报文中的内容:
在这里插入图片描述
Content-Length若不存在就说明没有下面的正文。

http如何解包,封装,以及分用呢?

解包以及分用是通过特殊字符空行来实现的,分用不是http解决的,是具体应用代码解决,http需要有接口来帮助上层获取参数。

http请求或响应是如何被读取的,请求是如何被发送的?

请求和响应整体看做一个大的字符串。
在这里插入图片描述

HTTP常见Header

  • Content-Type: 数据类型(text/html等)
  • Content-Length: Body的长度
  • Host: 客户端告知服务器, 所请求的资源是在哪个主机的哪个端口上;
  • User-Agent: 声明用户的操作系统和浏览器版本信息;
  • referer: 当前页面是从哪个页面跳转过来的;
  • location: 搭配3xx状态码使用, 告诉客户端接下来要去哪里访问;
  • Cookie: 用于在客户端存储少量信息. 通常用于实现会话(session)的功能;

<1>HTTP请求方法

在这里插入图片描述

GET和POST方法

  • post方法叫做推送,是提交参数比较长用的方法,参数是通过正文的方式来提交的,如上图,一旦有了参数,就会有Content-Length来表示参数的长度。

  • get方法叫做获取,是最常用的方法,默认一般获取所有的网页都是get方法。get方法可以提交参数,是通过url来进行参数拼接从而交给server端。下面看一下get方法的请求报文。

在这里插入图片描述
浏览器截图
c390d420491212fae9e203f49.png)
由上图可见get方法参数是通过url来进行参数拼接从而交给server端的。

GET和POST方法区别

  • 参数提交位置不同,post方法比较私密(私密 != 安全 ),不会回显到浏览器的url输入框。get方法会将重要信息回显到url输入框中,增加了被盗取的风险。
  • get方法通过url传参,而url是有大小限制的(和具体浏览器有关),post方法由正文部分传参,一没有大小限制。

<2>HTTP的状态码

在这里插入图片描述

常用的有:

  • 200 (OK):请求已正常处理。
  • 201 (Created):请求已被接受,等待资源响应。
  • 301 (Moved Permanently):永久性重定向,请求的资源已经被分配了新的URI,以后应使用资源现在所指的URI。
  • 302 (Found):临时性重定向。和301相似,但302代表的资源不是永久性移动,只是临时性性质的。换句话说,已移动的资源对应的URI将来还有可能发生改变。
  • 307 (Temporary Redirect):临时重定向。与302有相同的含义。
  • 403 (Forbidden):不允许访问那个资源。该状态码表明对请求资源的访问被服务器拒绝了。
  • 404 (Not Found):服务器上没有请求的资源。
  • 500 (Internal Server Error):该状态码表明服务器端在执行请求时发生了错误。
  • 503 (Service Unavailable):该状态码表明服务器暂时处于超负载或正在停机维护,现在无法处理请求。

临时重定向 VS 永久重定向

临时重定向:如我们平时使用软件要先进行登录操作,此时会跳转到登录界面,输完信息后登录会跳转到开始界面。

永久重定向:如网站搬迁旧网站不用了,此时访问旧网站时会跳到新网站中。

重定向是需要浏览器给我们提供支持的,浏览器必须识别301,302,307状态码。server告诉浏览器,应该在去哪里是通过报头中的location。

3、HTTP是不保存状态的协议

http是一种不保存状态,即无状态协议。http协议自身不对请求和响应之间的通信状态进行保存。也就是说在http这个级别,协议对于发送过的请求或响应都不做持久化处理。无状态优点:由于不必保存状态,自然可减少服务器的CPU及内存资源的消耗。

在这里插入图片描述

从我们平时生活来看,好像说的不对啊我们平时在网站中进行跳转(http请求)网站照样认识我啊,也不需要重新进行登录,原因是引入了Cookie技术。有了Cookie再用http协议通信,就可以管理状态了。

<1>使用Cookie的状态管理

Cookie技术通过在请求和响应报文中写入Cookie信息来控制客户端状态。Cookie会根据服务端发送响应报文内的一个叫做Set - Cookie的首部字段信息,通知客户端保存Cookie。当下次客户端再往服务器发送请求时,客户端会自动在请求报文中添加Cookie值后发送出去。
在这里插入图片描述

  • 浏览器:Cookie其实是一个文件(本地可以找到),该文件里面保存的是我们用户的私密信息。
  • http协议:一旦该网站对应有Cookie,在发起任何请求的时候都会在request中携带该Cookie信息

单纯使用Cookie是有一定安全隐患的

Cookie中存储着我们的私密信息,如果被别人盗取了Cookie文件,那别人就可以以我们的身份信息进行认定访问特定的资源,于是乎有了session。

session核心思路就是:将用户的私密信息,保存在服务端。如图:

在这里插入图片描述
虽然有了session会相对安全一些,但是仍然有被盗取的风险。

3、HTTPS

HTTPS是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础下加入SSL/TLS,HTTPS 的安全基础是 SSL/TLS,因此加密的详细内容就需要SSL/TLS。

SSL(Secure Socket Layer)安全套接层是Netscape公司率先采用的网络安全协议。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。SSL广泛支持各种类型的网络,同时提供三种基本的安全服务,它们都使用公开密钥技术。

<1>加密方式

对称加密: 只有一个秘钥X,即加密解密都需要用X来完成。
如用X来加密:data ^ x = result;
用X来解密:result ^ x = data;
这里只是举例,真实情况可能并不是这样,加密其实就是算法我们这里用异或来举例。

非对称加密: 有一对秘钥(公钥和私钥)。
可以用公钥来加密,但是只能用私钥来解密。或者用私钥来加密,只能用公钥来解密。
一般而言,公钥是对全世界公开的,私钥是自己私有保存的。

数据加密传到对端解密后我们怎么知道数据对不对是不是我想要的数据呢?

我们先来看这样一个问题。
文本传输如何防止文本中的内容被篡改,以及如何识别文本是否被篡改?

如图:
在这里插入图片描述
数据传输判断和文本类似。

<2>理解HTTPS加密过程

我们上述说了两种加密方式对称和非对称加密,那么https采用那种加密方式呢?

用对称加密,能不能行?

在双方通信秘钥协商的阶段,很显然秘钥是暴露出来的,因为两把秘钥相同那么不但你自己可以进行数据解密,其他看到你这把秘钥的人也可以对你的数据进行解密,从而看到你的数据。很显然是不行的。

那用非对称加密呢?

非对称加密,在秘钥协商阶段虽然别人可以看到传输的公钥,但是却不知到你的私钥信息故无法对你的数据进行解密。不足的是,客户端和服务端一人只有一把公钥和一把私钥,无法进行双向加密传输。

通过上面分析那用两对非对称秘钥不就可以保证数据双向传输安全了吗。理论上确实可以,不过非对称加密算法非常浪费时间,而对称加密是比较节省时间的。故实际采用 对称 + 非对称方案

如图:
在这里插入图片描述
上述过程虽然成功完成了加密传输,但是有一定风险。在网络环节中随时都有可能存在中间人来,偷窥、修改我们的数据。如果在上述中间环节我们传给client的公钥S被中间人用自己的秘钥替换了的话(狸猫换太子),那么最终形成的传输给server端的X+就是用中间人的秘钥形成的,中间人就可以知道我们的传输对称的秘钥,我们的数据也就被中间人看到了。如图:
在这里插入图片描述

本质问题是client端无法判断发来的秘钥协商报文是不是从合法的服务方发来的。

故就有了CA证书机构(经过权威机构认证,是合法的),有自己的公钥和私钥。此时中间人若是想来偷换数据也需要向CA机构申请证书,此时发送给client端的时候client端就能判断出是不是合法的服务方发过来的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/52693.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【网安神器篇】——mimikatz系统取证工具

作者名&#xff1a;Demo不是emo 主页面链接&#xff1a;主页传送门 创作初心&#xff1a;舞台再大&#xff0c;你不上台&#xff0c;永远是观众&#xff0c;没人会关心你努不努力&#xff0c;摔的痛不痛&#xff0c;他们只会看你最后站在什么位置&#xff0c;然后羡慕或鄙夷座…

C语言第十二课(中):操作符详解【单目、关系、逻辑、条件操作符】

目录 前言&#xff1a; 一、单目操作符&#xff01;、-、、&、sizeof、~、--、、*、(类型)&#xff1a; 1.逻辑反操作&#xff01;&#xff1a; 2.正负值操作符-、&#xff1a; 3.取地址操作符 &与解引用操作符 *&#xff1a; ①.取地址操作符&&#xff1a; ②.解…

数据结构与算法基础(王卓)(3)

前置&#xff1a; //#include<iostream> #include<stdlib.h>//存放exit#define TRUE 1 #define FALSE 0 #define OK 1 #define ERROR 0 #define INFEASIBLE -1 #define OVERFLOW -2 #define MAXlength 100 //初始大小为100&…

小程序开发音视频问题汇总及解决方案

目录 问题一&#xff1a;开发音视频&#xff0c;必用的两个小程序组件live-player和live-pusher&#xff0c;他们做什么用的&#xff0c;怎么才能使用&#xff1f; 问题二&#xff1a;一个页面只能插入一个 问题三&#xff1a;真机调试图片预览及视频全屏无反应 问题四&am…

图库 | 图存储的基础概念

前言 图存储的全称叫图数据库存储引擎或图数据库存储层&#xff08;组件&#xff09;。在功能层面&#xff0c;它负责图数据库或图数仓的数据的持久化存储。因为存储距离用户层的应用较图计算更为遥远&#xff0c;过往很少有论著会专门讲述图存储环节&#xff0c;但笔者要说的…

Python搭建虚拟环境

一、简介 1.特点&#xff1a; python的虚拟环境类似于虚拟机&#xff0c;能够创建一个独立的python运行环境&#xff0c; 虚拟环境中的安装的第三方依赖包和全局环境中的包相互独立。 2.环境 1. python3.3以上版本(自带venv模块&#xff0c;若已安装则可直接改变环境变量来…

【软件安装】Linux中RabbitMQ的安装

① 本篇是基于Linux操作系统中的安装&#xff0c;故先准备一个干净的Linux操作系统。本文中所有的操作基于CentOS8进行安装演示&#xff1b; ② 接下来的演示文本中&#xff0c;红色字体为操作步骤&#xff0c;黑色字体为解释说明&#xff1b; ③ 确保Linux系统中已经安装好必…

LightGBM 实现基于内容的个性化推荐

大家好&#xff0c;本文中&#xff0c;我将和大家一起学习如何训练 LightGBM 模型来估计电子商务广告的点击率的推荐系统的例子。将在Criteo数据集上训练一个基于LightGBM的模型。 LightGBM是一个基于树的梯度提升学习算法框架。是基于分布式框架设计的&#xff0c;因而非常高…

汇川伺服电机位置控制模式参数配置

1. 基本控制参数设置 1&#xff09;设置位置控制模式 2&#xff09;绝对值位置线性模式 2.端子输入参数设置 1&#xff09;将输入端子使能失效 3. 位置控制参数设置 1&#xff09;将位置来源设置为2&#xff1a;多段位位置指令 4.通信参数设置 1&#xff09;波特率设置为960…

单元测试我们需要知道哪些?

前言趁着刚读完《认知天性》这书&#xff0c;书有一点这样说&#xff1a;「我们学习行为更多凭着直觉&#xff0c;即使我们已经看到了科学数据&#xff0c;但我们也不愿意去相信自己的直觉存在问题。」那和我们单元测试有什么关系呢&#xff1f;这时我突然有一个问题&#xff1…

19-28-hive-数据类型-DDL

19-hive-数据类型-DDL&#xff1a; 基本数据类型 Hive 数据类型Java 数据类型长度例子TINYINTbyte1byte 有符号整数20SMALINTshort2byte 有符号整数20INTint4byte 有符号整数20BIGINTlong8byte 有符号整数20BOOLEANboolean布尔类型&#xff0c;true 或者falseTRUE FALSEFLOAT…

【Python】Labelme/PIL读取图片朝向错误解决

文章目录一、问题背景二、产生原因三、解决方案一、问题背景 发现使用labelme直接读取含imageData&#xff08;将图片bytes数据使用base64编码后的str数据&#xff09;的json文件时&#xff0c;读上来的图片会发生自动旋转的问题。比如原先是横放的图&#xff0c;读进来后就成…

虚拟化基本知识及virtio-net初探

QEMU/KVM是在Linux中被广泛使用的虚拟化技术之一&#xff0c;而virtio作为一个半虚拟化I/O事实上的标准[1]&#xff0c;是QEMU/KVM在I/O虚拟化部分的默认实现。virtio-net是virtio标准中的网卡设备&#xff0c;被广泛应用。本文将会沿着虚拟化&#xff0c;virtio半虚拟化I/O&am…

非对称风险模型

推荐模型&#xff1a;非对称性风险&#xff0c;让自己置身于一个好结果比坏结果影响大得多的环境中 比如投资&#xff0c;将85%~90%投入到极低风险的资产中&#xff08;国债&#xff09;&#xff0c;来享受确定性收益&#xff1b;剩下的投入的10%~15%投入到极高风险资产中&…

使用FeatureTask多线程优化in,提高查询速度

场景是这样的&#xff1a;使用in查询数据的时候&#xff0c;in的数量越多&#xff0c;效率越低&#xff0c;所以一个优化的思路是&#xff0c;缩小in查询的数量&#xff0c;用多线程的方式查询缩小数量后in的sql&#xff0c;并行查询。 直接上代码&#xff1a; public List&l…

Linux零基础入门(四)Linux实用操作

Linux零基础入门&#xff08;四&#xff09;Linux实用操作前言Linux实用操作一 各类小技巧&#xff08;快捷键&#xff09;1 ctrl c 强制停止2 ctrl d 退出或登出3 历史命令搜索4 光标移动快捷键5 清屏二 软件安装1 Linux系统的应用商店2 yum命令3 apt命令 - 扩展三 systemct…

全光谱台灯对孩子有伤害吗?儿童用台灯的好处和坏处是什么

全光谱台灯是指灯光色谱丰富度与太阳光一般全面的台灯&#xff0c;这样的灯光照射下的任何物体&#xff0c;不但颜色丰富多彩&#xff0c;而且极其真实&#xff0c;无限接近太阳光下的真实色彩&#xff0c;对人眼舒适度有巨大的提升&#xff0c;所以全光谱台灯不但对孩子无害&a…

5G无线技术基础自学系列 | MU-MIMO原理

素材来源&#xff1a;《5G无线网络规划与优化》 一边学习一边整理内容&#xff0c;并与大家分享&#xff0c;侵权即删&#xff0c;谢谢支持&#xff01; 附上汇总贴&#xff1a;5G无线技术基础自学系列 | 汇总_COCOgsta的博客-CSDN博客 MU-MIMO是指多个用户在上下行数据传输时…

算法实操:Python代码实现直插排序(含有序在前有序在后)

【学习的细节是欢悦的历程】Python 官网&#xff1a;https://www.python.org/ Free&#xff1a;大咖免费“圣经”教程《 python 完全自学教程》&#xff0c;不仅仅是基础那么简单…… 自学并不是什么神秘的东西&#xff0c;一个人一辈子自学的时间总是比在学校学习的时间长&a…

[附源码]SSM计算机毕业设计音乐网站JAVA

项目运行 环境配置&#xff1a; Jdk1.8 Tomcat7.0 Mysql HBuilderX&#xff08;Webstorm也行&#xff09; Eclispe&#xff08;IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持&#xff09;。 项目技术&#xff1a; SSM mybatis Maven Vue 等等组成&#xff0c;B/S模式 M…