被问到: http 协议和 https 协议的区别怎么办?别慌,这篇文章给你答案

前言
作为软件测试师,大家都知道一些常用的网络协议是我们必须要了解和掌握的,比如 HTTP 协议,HTTPS 协议就是两个使用非常广泛的协议,所以也是面试官问的面试的时候问的比较多的两个协议;因为这两个协议有相似和关联的地址,面试官通常为了考察你对其掌握的深度,也经常会问:你能说说 http 协议和 https 协议的区别么?如果你还不了解,就跟着我一起来学习吧。

HTTP 协议
其实对于 http 协议,大家可能都比较熟悉。HTTP 协议,全称是 Hyper Text Transfer Protocol(超文本传输协议)。它是在 TCP 三次握手建立了链接的基础上工作的,所以 http 协议是基于 TCP 协议的 80 端口的应用层协议,主要作用是用于从万维网 WWW 传输资源到本地浏览器的传送协议。

HTTP 协议做的事情主要是用来规定客户端和服务端的数据传输格式,所以它是一个标准和规范。那它是怎么定义这个规范的呢?这就需要我们来看一下这个协议的具体内容了。我们接下来就用 fiddler 抓包来直观地看一下这个报文的内容:

每一个 http 连接包括请求消息和响应消息两个部分, 就像你在浏览器里发送要访问百度页面的请求,那么百度服务器就会返回给我一个响应并展示百度页面,所以 HTTP 协议都是基于请求和响应模式的。

请求消息
首先我们来看下 HTTP 协议请求消息,也就是 http request,指从客户端到服务端的请求消息,包括以下信息:

请求行:包括请求方法(GET、POST 等),请求地址 uri,HTTP 版本等信息

请求头:包括的内容非常多,比如 content-type(客户端传递到服务器端的数据格式),User-Agent(标明客户端的基本信息)等

空一行:是格式要求,表示请求头的结束

请求体:就是请求正文,一般是参数等信息

具体抓包显示如下图:

响应消息
服务器收到客户端的请求后就会给出响应,也就是 http response,同样包括以下四个部分信息:

响应行:包括 http 版本以及响应状态码信息

响应头:同样包括的内容比较多,比如 Content-Type(响应消息的格式),cookie\token 等信息

空一行:标识着响应头的结束

响应正文:从服务响应回来的具体数据,比如 XML、JSON 格式的数据,这个也是做接口测试要重点查看的内容。

通过以上抓包信息我们也可以看出来, http 协议有如下几个特点:

通信使用的明文进行数据传输的,任何一个中间截取者都可以截取数据进行篡改;
请求的客户端和响应的服务器端不会对通信双方进行身份的确认,这样就可能会导致任何人都可以假冒成为通讯方而不被发现;
也没有校验和保护数据的完整性的机制,被篡改的数据没有办法被通讯双方所发现。

但是随着互联网的不断发展,我们越来越多的业务都在网上进行,对于安全性就越来越重视。所以针对 HTTP 协议这些不安全的特点,一个新的协议就应运而生,它就是 HTTPS 协议。

HTTPS 协议
HTTPS,全称是 Hyper Text Transfer Protocol Secure(超文本传输安全协议),是以安全为目标的 HTTP 通道,简单讲就是 HTTP 协议的安全版。

那么它是怎么实现安全性的呢?看下图:

从图我们可以清晰的看到,HTTPS 协议就是在 HTTP 协议和 TCP 协议之间加入了 SSL 层,所以它的安全性就是通过 ssl 协议来实现的。所以 HTTPS 协议也经常被叫做:披着 SSL 外壳的 HTTP 协议。

那么这个 SSL 协议能提供哪些安全性呢?给大家列一个公式: HTTP+ 加密 + 认证 + 完整性保护 =HTTPS

SSL 握手过程

具体这些安全性机制如何实现的,我们就需要来看一下 HTTPS 的工作流程。下图是 SSL 建立连接的握手过程:

以上过程我们文字解释一下:

1.客户端通过发送Client Hello 报文开始 SSL 通信
客户端发起请求,以明文传输请求信息,包含版本信息,加密套件候选列表,压缩算法候选列表,随机数,扩展字段等信息。

相关信息如下:
• 支持的最高 TSL 协议版本 version,从低到高依次 SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2,当前基本不再使用低于 TLSv1 的版本;
• 客户端支持的加密套件 cipher suites 列表, 每个加密套件对应前面 TLS 原理中的四个功能的组合:

认证算法 Au (身份验证)

密钥交换算法 KeyExchange(密钥协商)

对称加密算法 Enc (信息加密)

信息摘要 Mac(完整性校验);

2.服务器可进行 SSL 通信时,会以 Server Hello 报文应答
服务端返回协商的信息结果,包括选择使用的协议版本 version,选择的加密套件 cipher suite,选择的压缩算法 compression method、随机数 random_S 等,其中随机数用于后续的密钥协商;

3.服务器发送 Certificate 证书报文
服务器端配置对应的证书链,用于身份验证与密钥交换; 报文中包含公开密钥证书,客户端可以通过证书验证服务器的身份,这就是防止的第三方假冒身份,保证的通讯双方的身份真实性。

4.服务器发送 Server Hello Done 报文通知客户端
这个报文的发送通知客户端 server_hello 信息发送结束,就标识着最初阶段的 SSL 握手协商部分结束。

5.客户端以 Client Key Exchange 报文作为回应
客户端收到服务器的证书后,会去验证证书的合法性,如果验证通过才会进行后续通信,否则根据错误情况不同做出提示和操作。

证书的合法性验证通过之后,客户端计算产生随机数字 被称为 Pre-master secret 的随机密码串,并用证书公钥加密,发送给服务器; 该报文已用步骤 3 中的公开密钥进行加密。

此时客户端已经获取全部的计算协商密钥需要的信息:两个明文随机数 random_C 和 random_S 与自己计算产生的 Pre-master,计算得到协商密钥。

6.接着客户端继续发送 Change Cipher Spec 报文
客户端通过该报文通知服务器后续的通信都采用协商的通信密钥和加密算法进行加密通信。

7.客户端发送 Finished(encrypted_handshake_message) 报文
结合之前所有通信参数的 hash 值与其它相关信息生成一段数据,采用协商密钥 session secret 与算法进行加密,然后发送给服务器用于数据与握手验证; 该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功,要以服务器是否能够正确解密该报文作为判定标准。

8.服务器同样发送 Change Cipher Spec 报文
服务器用私钥解密加密的 Pre-master 数据,基于之前交换的两个明文随机数 random_C 和 random_S,计算得到协商密钥:enc_key=Fuc(random_C, random_S, Pre-Master);然后计算之前所有接收信息的 hash 值,并解密客户端发送的 encrypted_handshake_message,验证数据和密钥正确性;

验证通过之后,服务器同样发送 change_cipher_spec 以告知客户端后续的通信都采用协商的密钥与算法进行加密通信;

9.服务器同样发送 Finished(encrypted_handshake_message)报文
服务器也结合所有当前的通信参数信息生成一段数据并采用协商密钥 session secret 与算法加密并发送到客户端。

客户端计算所有接收信息的 hash 值,并采用协商密钥解密 encrypted_handshake_message,验证服务器发送的数据和密钥,验证通过则握手完成。

10.开始进行应用层协议的通信,即发送 HTTP 请求。
服务器和客户端的 Finished 报文交换完毕之后,SSL 连接就算建立完成。开始正式发送 HTTP 通信消息,发送的是 http 的请求消息,当然,通信报文都会受到 SSL 的保护。

应用层发送数据时会附加一种叫做 MAC(Message Authentication Code)的报文摘要。MAC 能够查知报文是否遭到篡改,从而保护报文的完整性。

11.应用层协议通信,即发送 HTTP 响应。
12.最后由客户端断开连接。断开连接时,发送 close_notify 报文。

上图做了一些省略,这步之后再发送 TCP FIN 报文来关闭与 TCP 的通信。

通过以上 12 步的解析,我们可以清楚的看到 SSL 是如何给数据提供安全性的:

1)通过证书来验证通信双方的身份吗,保证身份的真实可靠,防止第三方假冒;

2)通过协商出来的秘钥进行通信数据的加密,保证数据不会被被任何数据截取者看到,保证的数据的机密性;

3)通过 MAC 的报文摘要,确保数据没有被篡改,保证了数据的完整性。

使用 HTTP 协议还是 HTTPS 协议呢?
讲到这里我们会发现 HTTPS 协议确实比 HTTP 协议要安全很多,但是我们平时生活中还是会看到有些网站用的是 http 协议。既然 HTTPS 那么安全可靠,那为何所有的 Web 网站不一直使用 HTTPS 呢?主要的原因有以下几点:

1、对计算机的资源消耗比较大:因为与纯文本通信相比,加密通信会消耗更多的 CPU 及内存资源。如果每次通信都加密,会消耗相当多的资源,平摊到一台计算机上时,能够处理的请求数量必定也会随之减少。

2、通信速度会比较慢:和使用 HTTP 相比,网络负载可能会变慢 2 到 100 倍。除去和 TCP 连接、发送 HTTP 请求,响应以外,还必须进行 SSL 通信,因此整体上处理通信量不可避免会增加;

3.对服务器和客户端的机器性能要求更高:由于大量消耗 CPU 及内存等资源,导致处理速度变慢。因为 SSL 必须在服务器和客户端都进行加密处理,因此从结果上讲,比起 HTTP 会更多地消耗服务器和客户端的硬件资源,导致负载增强。

4. 购买证书需要额外的开销:要进行 HTTPS 通信,证书是必不可少的。而使用的证书必须向认证机构(CA)购买。证书价格可能会根据不同的认证机构略有不同。通常,一年的授权需要 600 -1000+ 人民币。那些购买证书并不合算的服务以及一些个人网站,可能只会选择采用 HTTP 的通信方式

HTTP 协议和 HTTPS 协议的区别

我们来总结一下 http 协议和 https 协议的区别:

最后感谢每一个认真阅读我文章的人,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走:

在这里插入图片描述

这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!   

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/126570.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

为什么说网络安全是风口行业?是it行业最后的红利?

前言 “没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。 网络安全行业特点 1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万&…

移除链表元素_每日一题

“路虽远,行则将至” ❤️主页:小赛毛 ☕今日份刷题:移除链表元素 题目描述: 给你一个链表的头节点 head 和一个整数 val ,请你删除链表中所有满足 Node.val val 的节点,并返回 新的头节点 。 示例1&…

初步了解android如何锁键

百年三万六千日,光阴只有瞬息间。 手机下面的三个图形,正方形,园形,三角形分别的什么建?都起到什么功能? 三角形的那个叫返回键,就是可以返回你的上一个操作; 圆形是HOME键,按一下可…

使用IntelliJ IDEA本地启动调试Flink流计算工程的2个异常解决

记录:471 场景:使用IntelliJ IDEA本地启动调试Flink流计算时,报错一:加载DataStream报错java.lang.ClassNotFoundException。报错二:No ExecutorFactory found to execute the application。 版本:JDK 1.…

实现在一张图片中寻找另一张图片的目标

OpenCV库中的SIFT特征检测算法和FLANN(快速最近邻搜索库)匹配算法来找到一个图片中的元素在另一个图片中的位置,并在源图片中标出它们的位置。 以下是一个简单的例子,使用OpenCV库,利用SIFT特征检测算法,在…

无涯教程-JavaScript - IMABS函数

描述 IMABS函数以x yi或x yj文本格式返回复数的绝对值(模)。 Excel中的复数 复数简单地以文本形式存储在Excel中。 当将格式为" a bi"或" a bj"的文本字符串提供给Excel的内置复数函数之一时,这被解释为复数。 复数函数可以接受简单数值,因为它等效…

PostgreSQL 数据库使用 psql 导入 SQL

最近我们有一个 SQL 需要导入到 PostgreSQL ,但数据格式使用的是用: -- -- TOC entry 7877 (class 0 OID 21961) -- Dependencies: 904 -- Data for Name: upload_references; Type: TABLE DATA; Schema: public; Owner: - --COPY public.upload_refere…

持续集成/技术交付全流程流水线工具的设计与落地

文章目录 持续集成/技术交付全流程流水线工具的设计与落地概述工具架构设计主要功能模块代码库Jenkins 流水线代码构建自动化测试产品部署监控报警 使用方法步骤一:安装 Jenkins步骤二:创建 Jenkins 流水线步骤三:配置监控报警步骤四&#xf…

【2023集创赛】加速科技杯二等奖作品:基于ATE的电源芯片测试设计与性能分析

本文为2023年第七届全国大学生集成电路创新创业大赛(“集创赛”)加速科技杯二等奖作品分享,参加极术社区的【有奖征集】分享你的2023集创赛作品,秀出作品风采,分享2023集创赛作品扩大影响力,更有丰富电子礼…

Linux文件操作

目录 复制文件、目录 cp 移动 重命名文件或目录 mv 创建删除文件 touch rm(remove) 创建删除目录 mkdir(make directory) rmdir(remove directory) 复制文件、目录 cp cp(copy) 同一个目录下复制,所以重命名了一下;把它复制到linuxcast.net/目录下可以…

方案:TSINGSEE青犀AI智能分析网关森林防火智慧监管平台方案

一、方案背景 森林是地球上最重要的生态系统之一,对环境、气候、水循环和空气质量具有重要影响。森林火灾会造成巨大的经济损失,具有发生面广、突发性强、破坏性大、危险性高、处置扑救特别困难等特点,严重危及人民生命财产和森林资源安全&a…

69、配置AWS服务,接收来自RTSP流的推送

基本思想:在上一篇的基础和视频教程之后,进行简单的aws服务,进行RTSP流的接收 第一步: 第二步:配置video_stream,记得选择香港节点 同时记录这个信息,后面的策略需要填充 第三步:进行策略设置 第四步:策略设置,选中右上角的创建策略 第五步、进行json填充 第六步:填…

骨传导耳机十大品牌有哪个,骨传导耳机十大品牌排行榜分享

在这个信息爆炸的时代,确实很容易在市场上找到各种各样的骨传导耳机品牌和型号,对于没有相关经验的消费者来说,他们很难判断哪些产品是真正值得信赖的,哪些可能有质量问题或者不适合自己的需求,现如今骨传导耳机的市场…

通过starrocks jdbc外表查询sqlserver

1.sqlserver环境准备,使用docker环境,可以参考使用flink sqlserver cdc 同步数据到StarRocks_gongxiucheng的博客-CSDN博客 部署获得sqlserver环境; 2.获取starrocks环境,也可以通过docker部署,参考:使用…

【VSCode】文件模板创建及使用.md

背景 最近使用VSCode学习Vue项目比较频繁,每次创建Vue文件都要手动写重复代码,特别麻烦,就上网查找自动生成代码的说明,结果发现VSCode有代码模板,怪怪,感觉发现新大陆了(low!)。 配置 打开配置 方式一&a…

基于SSM的物流管理系统

末尾获取源码 开发语言:Java Java开发工具:JDK1.8 后端框架:SSM 前端:采用JSP技术开发 数据库:MySQL5.7和Navicat管理工具结合 服务器:Tomcat8.5 开发软件:IDEA / Eclipse 是否Maven项目&#x…

ansible 使用roles简单部署LAMP平台

目录 一、了解roles目录 二、基于构建LAMP平台创建roles目录 1、在192.168.115.148创建目录 2、书写php的测试页面 3、编写httpd角色的main.yml文件 4、编写mysql角色的main.yml文件 6、编写lamp的playbook 7、启动剧本 8、访问 一、了解roles目录 在Ansible中&#…

第 2 章 线性表 (设立尾指针的单循环链表(链式存储结构)实现)

1. 背景说明 循环链表(circular linked list),是另一种形式的链式存储结构。它的特点是表中最后一个结点的指针域指向头结点, 整个链表形成一个环。由此,从表中任一结点出发均可找到表中其他结点 。 2. 示例代码 1) status.h /* DataStruct…

Visual Studio 新建类从默认internal改为public

前言 之前一直用的Resharp辅助编写C#代码,Resharp用起来的确方便不少,但是太消耗开发机内存了。重装电脑后,还是决定使用Visual Studio内置的功能。 默认情况下,Visual Studio 中生成一个类或接口是internal类型的,而…

大学大创项目:手机室内AR导航APP项目思路

文章目录 一、最初的项目思路二、建图和定位分离的项目思路1、建图2、定位 个人见解,如有错误,请多包涵 一、最初的项目思路 在大创项目的开始,将手机确定为应用设备,传感器确定为相机。 由于知识储备的原因,在头一次…