HTTPS(面试高频必须掌握)

目录

一、HTTPS背景

二、HTTPS 的工作过程

1. 对称加密

2.非对称加密

3. HTTPS 基本工作过程

3.1 使用对称密钥

3.2 引入非对称密钥(面试高频问题)

3.3 黑客的手段

3.4 引入证书

3.5 捋一捋

3.6 SSL/TLS

三、HTTP 与 HTTPS 区别(高频面试题)

四、Tomcat

1.目录介绍

2.服务器的启动

3.部署静态页面

3.1 部署博客系统页面


 

🌈上节课我们学习完 HTTP 协议,相信大家已经了解,这节课我们学习 HTTPS,HTTPS 基于 HTTP,只是比 HTTP 多了一个 “加密层”

一、HTTPS背景

HTTPS 也是一个应用层协议. 是在 HTTP 协议的基础上引入了一个加密层.

        “运行商劫持”:例如我们在下载一个软件的时候,就会弹出下载的链接;但是这时候就会出现运营商劫持,点击下载按钮,就回弹出其他软件的下载链接。

        由于我们通过网络传输的任何的数据包都会经过运营商的网络设备(路由器, 交换机等), 那么运营商的网络设备就可以解析出你传输的数据内容, 并进行篡改。点击 "下载按钮", 其实就是在给服务器发送了一个 HTTP 请求, 获取到的 HTTP 响应其实就包含了该 APP的下载链接. 运营商劫持之后, 就发现这个请求是要下载某一个软件, 那么就自动的把交给用户的响应给篡改成 "其他软件" 的下载地址了

c00e74dbb0c54702b8a96fa3dcbd43f0.png

为什么有运营商劫持❓❓ 被金钱蒙蔽双眼


只要网络上的数据,明文传输的,都是存在被劫持,被篡改的风险!!(网络其实是一个原始森林,处处充满危机)

为了能够改善上述问题,就引入了加密,HTTPS 就应运而生

  • 加密就是把 明文 (要传输的信息)进行一系列变换, 生成 密文;
  • 解密就是把 密文 再进行一系列变换, 还原成 明文;
  • 在这个加密和解密的过程中, 往往需要一个或者多个中间的数据, 辅助进行这个过程, 这样的数据称为 密钥

二、HTTPS 的工作过程

对于密码学,并没有太多的了解,不讨论加密解密的细节算法,只考虑宏观的流程

1. 对称加密

只有一个密钥(key),通过密钥把明文加密成密文,并且也能把密文解密成明文

明文 + key ===> 密文                密文 + key ===> 明文

这里我们发现 加密和解密 使用的是同一个密钥;对称加密的特点是计算起来比较快速

2.非对称加密

需要两个密钥:一个叫做 公钥(pub),私钥(pri),这里 pub 和 pri是一对,拿 pub 加密,只能拿对应 pub 的 pri 解密

      明文 + pub ====> 密文                密文 + pri ====> 明文

or   明文 + pri ====> 密文                 密文 + pub ====> 明文

3. HTTPS 基本工作过程

加密:针对 HTTP 的各种 header 和 body

3.1 使用对称密钥

 一个正常的客户端服务器:

a7f5b39952c745af915d99ac13024d71.png

 此时如果有黑客入侵:

2130b49fa3d94b3da55b8461212835a3.png

 既然是不同的客户端有不同的密钥,此处就要求客户端在连接到服务器的时候,自己先生成一个密钥,让每个客户端各自生成各自的密钥,互不相关,也就生成了不同的密钥了

既然客户端需要自己生成一个密钥,如何把这个密钥告诉服务器呢❓❓ 网络传输

  • 客户端生成自己的密钥之后,就把key通过网络发送给服务器,但是这个数据也可能被黑客截获,此时黑客就知道密钥了

看起来是需要针对key也进行加密,难道要生成一个 key2,使用 key2 加密 key❓❓key2 也得告诉服务器谁来加密 key2❓❓走到这里此路就走不通,需要考虑其他方法——非对称密钥

3.2 引入非对称密钥(面试高频问题)

e3fe4c35ba864e4db28da4d7fb9f3766.png

 逻辑过程(至关重要,面试高频

  1.  服务器生成一对公钥(pub)和私钥(pri),在这里公钥要别人,私钥留着自己用
  2. 客户端生成一个对称密钥key:客户端希望把自己的 key 安全传输给服务器,不被黑客拿到
  3. 客户端给服务器发送请求:大哥你的公钥是啥
  4. 服务器收到请求之后,返回公钥(pub)给客户端(很明显,这个时候 黑客和客户端都拿到了 pub)
  5. 客户端使用 pub 针对 key 进行加密
  6. 客户端就把key 被 pub 加密的密文发送给服务器(当然,黑客也拿到了这个密文,但是由于这个数据是使用 pub 加密的,要想解密,只能使用和 pub 成对的这个 pri 才行,而黑客是没有 pri  私钥的,黑客无法解密,拿不到 key;服务器有pri,能解密)
  7. 服务器返回 o k给客户端
  8. 后续的业务数据,客户端都是使用 key 进行加密
  9. 此时密文到达黑客这边,由于黑客没有拿到对称密钥key,此时就不可能解析和篡改,就发送到了客户端
  10. 重复密文传输即可

3.3 黑客的手段

安全是“相对的”,可以通过“骗”的方式,来放倒客户端的

9876abaea4fa4e73bfde3322d340b40e.png

  1. 服务器生成一对公钥(pub)和私钥(pri),在这里公钥要别人,私钥留着自己用
  2. 客户端生成一个对称密钥key:客户端希望把自己的 key 安全传输给服务器,不被黑客拿到
  3. 客户端给服务器发送请求:大哥你的公钥是啥
  4. 服务器收到请求之后,返回公钥(pub)给客户端(此时黑客自己生成一对非对称密钥 pri2 和 pub2,把 pub2发送给客户端,并且记住pub
  5. 此时客户端拿到的就是 pub2,然后客户端使用 pub2 针对 key 进行加密
  6. 客户端就把key 被 pub2 加密的密文发送给黑客(黑客手里有 pub2 对应的 pri2,就可以进行解密,于是拿到了 key;此时黑客继续使用服务器的 pub 对 key 重新加密,把密文发送给服务器)
  7. 服务器拿到这份加密的数据之后,使用 pri 解密,解密成功,拿到对应密钥 key;此时服务器以为客户端的对称密钥是 key,此时返回ok
  8. 后续的业务数据,客户端都是使用 key 进行加密
  9. 此时密文到达黑客这边,就可以进行数据的解析,这样数据就透明 了

要想解决中间人攻击,破解的关键在于让客户端信任公钥,这个知识点就引入证书

3.4 引入证书

这个“证书”不是一个“纸质”的证书,而是一串数据,也是数字证书

引入一个权威机构,负责去颁发证书;比如说我现在有一个服务器,就可以去这个机构申请证书,再申请的时候提交一些资料(并且服务器的公钥也可以一起提交过去,此时证书中就包含了服务器的公钥),审核通过之后就会颁发证书

6c7dccd6e6e04ff998400df6af661ecf.png

a3805862ecbb4b00a979b4fe1d2cf200.png 黑客可以知道公钥,也可以对签名进行解密,黑客也可以对证书进行同样的校验;校验是人人都可以校验,关键是能改❗❗ 

  1. 客户端给服务器发送请求:大哥你的证书是啥
  2. 服务器收到请求之后,返回证书给客户端
  3. 客户端拿到证书之后,首先需要进行校验:1️⃣得到初始签名:客户端使用系统中内置的权威机构的公钥 pub2,针对上述证书中的加密签名进行解密,得到初始签名(这个签名是权威机构计算出来的,设为 sum1)2️⃣计算现在的签名:客户端使用同样的签名计算算法,基于证书的属性重新计算,得到 sum23️⃣比较两个签名是否相同:如果相同,说明整数的数据都是未被篡改的原始数据;如果签名不同,说明证书的数据被篡改过,客户端的浏览器弹框报错

为什么说黑客不能篡改❓❓❓ 安全的关键不是黑客“看不到”,而是黑客“篡改不了”


1️⃣黑客把证书的服务器的公钥(pub),替换成自己的公钥2️⃣黑客针对证书的各个属性,重新计算签名3️⃣黑客需要把签名 重新加密,要想加密,务必需要知道权威机构的私钥,然而这个事情,黑可是不知道的

3.5 捋一捋

  • 客户端生成的对称密钥:用来加密业务数据
  • 服务器生成的非对称密钥 pub 和 pri :用来加密对称密钥
  • 颁布证书机构的非对称密钥(私钥机构自己持有,公钥客户端电脑系统内置):用来加密证书的签名
  1. 通过对称密钥:来保证业务数据的安全
  2. 使用非对称密钥:来安全传输对称密钥
  3. 通过中间人攻击:黑客能拿到对称密钥
  4. 引入证书:使客户端能够验证该公钥是否合格 (客户端如何让检验证书,是关键环节)

上述过程,尽量用 画图 来讲解

3.6 SSL/TLS

上述介绍的这一套:对称加密 + 非对称加密 + 证书(这一套也叫 SSL/TLS) 这一套流程,不仅仅是 HTTPS会涉及到,其他场景也会用到 SSL(SSL协议),所以说 HTTPS  = HTTP + SSL

三、HTTP 与 HTTPS 区别(高频面试题)

  1. HTTP协议是超文本传输协议,数据是明文传输,具有安全风险,HTTPS是具有安全性的SSL加密传输协议,对数据进行加密传输
  2. HTTPS协议需要向权威机构申请数字证书,保证服务器的身份是可信的
  3. HTTP的连接相对简单,只需要经过TCP的三次握手就可以进行数据传输,而HTTPS的连接需要经过TCP的三次握手后,再经过SSL的握手才能进行加密数据传输
  4. 两者的默认端口不一样,HTTP的默认端口是80,HTTPS的默认端口是443

四、Tomcat

HTTP 是前后交互的桥梁;HTTP 服务器 本质上 就是一个 TCP 服务器(HTTP是基于 TCP),这个服务器是按照 HTTP 协议约定,解析请求,构造响应;业界由很多现场的 HTTP 服务器,直接可以使用

🌈在 JAVA 圈子里,最知名的 HTTP 服务器,就是 Tomcat (是 apache 社区开源的 HTTP 服务器,现在 java 生态中,最流行的 http 服务器)

apache 最开始是一个开源项目,apache 也是一个 HTTP 服务器(httpd),后来围绕这个项目就形成了一个社区,越来越多的大佬来贡献代码,于是就成立了 apache 开源组织,有很多开源项目,Tomcat 也是其中的代表作

1️⃣从 tomcat 官网上下载安装:Apache Tomcat® - Apache Tomcat 8 Software Downloads

2599441072f54a0e85e3cfa46255eabb.png

 下载 Tomcat 8;新的不一定好,新的不稳定,可能由一些 bug,像如 jdk 还在用 8,因为仍然由大部分公司还在用,少数在用 11,虽然版本已经到了 19,与我无瓜

2️⃣下载好 tomcat 之后,解压缩到一个能找到的地方,此时就安装完了,这个 tomcat 就属于 纯绿色软件,要想让 tomcat 正确工作,务必保证电脑上装好了 jdk

5925b641555c40388a7715858f7a3f61.png

1.目录介绍

1d83595eb7a0461580f8b6c61397aa3f.png

2.服务器的启动

启动 tomcat 双击 startup.bat;linux/mac 运行 startup.sh

2ccde9d3e27f4db8ab17fe336d35b220.png

当我们看到这个框框表示 tomcat 启动完成

1️⃣看看 Tomcat 的端口号是否正确绑定:Tomcat 既然是服务器,势必要绑定一个端口(Tomcat 默认的端口号是 8080)

win + R:输入 cmd,确定之后输入 netstat -ano | findstr 8080 (netstat -ano——查看系统所有端口号;findstr 8080——找包含 8080 关键字)

efb7d445774241b49e921163139e3424.png

83aab9949b484561b708f2db030a150e.png

 2️⃣通过浏览器来访问 tomcat 的欢迎界面:浏览器输入 127.0.0.1:8080

912cef4477ff458da734cfee2e70ae85.png

 此时这个页面就是通过网络访问了 tomcat 上的内容

3.部署静态页面

3.1 部署博客系统页面

学习 tomcat 为了部署自己的网站,之前我们写了一个 博客系统(前端)

660a8d83169d4189af784f7bc653b0c7.png

 此时重新启动 Tomcat;并且在网页中输入:127.0.0.1:8080/Blogging_system/blogging.html

a35a59a9ac8240fb9f1a4ecf389a2e8e.png

所谓的部署一个网站到 Tomcat 上,就是把对应的内容拷贝到 tomcat 的 webapps 目录即可

如果直接双击 html 也能看到页面,为啥还要往 tomcat 上部署呢❓❓ tomcat 上部署和直接双击运行有啥区别❓❓


🌈直接双击是在自己的电脑上打开 ,别人无法访问;tomcat 上部署是通过网络访问的、跨主机的(我在我的机器上部署了 tomcat,别人就可以跨主机通过网络访问到我的页面)

那么问题又来了:

现在别人的电脑能不能直接访问的的 tomcat❓❓❓


🌈两种方法:1️⃣我有外网 ip2️⃣别人的电脑和我在一个局域网中(连到同一个路由器)

虽然我的电脑上没有外网 ip,但是我有云服务器(云服务器是由外网 ip,云服务器上的 tomcat),就可以部署想要的网站,就能够被别人访问


Tomcat 的基本使用是比较容易的:

1️⃣启动2️⃣把内容拷贝到 webapps3️⃣通过浏览器访问4️⃣使用 netstat 查看端口

我们要学习的重点是基于 Tomcat 进行编程!!

现在要写网站后端(HTTP 服务器),虽然可以重头写一个 HTTP 服务器,但是比较麻烦,Tomcat 已经完成这部分工作,并且 Tomcat 给我们提供了一系列 API,可以让我们在程序中直接调用;此时就可以省去一部分工作(HTTP 服务器肯定要根据 HTTP 协议解析请求报文,还要根据 HTTO 协议,构造响应报文,Tomcat 已经弄好了),更专注于业务逻辑了(写的程序要解决什么问题,是怎么解决的)

接下来我们将学习Tomcat 给提供了一系列 API 也叫 Servlet

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/47188.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

一对一语音视频直播双端原生+php后台源码 社交交友APP匹配语音视频聊天即时通信源码

介绍: 这套是没有教程的哈,你们需要的自己研究。 开发语言 后端web:PHP Android:Java iOS:obje-ct-ctive-C 全新原生一对一社交软件 速度匹配 视频匹配语音匹配 即时通信产品 秒匹配 秒接通 独立资料卡页面 画面以及语…

chatgpt赋能python:Python代码的修改

Python代码的修改 Python是一门广泛应用于Web开发、数据分析、人工智能等领域的编程语言。当你编写Python代码时,你可能需要修改代码以满足不同的需求。但是,如何修改Python代码并确保其正常运行呢?在本文中,我们将介绍一些关于P…

chatgpt赋能python:Python修改List的教程

Python修改List的教程 当涉及到Python编程时,对于处理和管理数据,List是一个非常常见和有用的数据结构。像大多数数据结构一样,有时需要对List进行修改,以便更好地满足程序的需求。因此,本文将向您展示如何使用Python…

来自MIT的论文答辩、PPT教程,教你轻松应对毕业季和学术会议

晓查 发自 凹非寺 量子位 报道 | 公众号 QbitAI 马上就要毕业了,你是不是还在为论文答辩发愁? 又或者你第一次参加学术会议,不知道如何制作论文海报和演讲PPT? 这些与论文主体看似无关的“细枝末节”,往往没有人帮忙&a…

【学术技巧】论文答辩,老师会仔细看论文内容吗?

有同学问,我要参加学位论文答辩,老师会仔细看论文内容吗? 看看大家怎么回答? 高赞回答一 作者:静寂谷链接:https://www.zhihu.com/question/321307733/answer/673243143来源:知乎 一堆人在写答…

chatgpt赋能python:用Python做量化分析:如何利用编程语言赚取利润

用Python做量化分析:如何利用编程语言赚取利润 在金融市场中,量化分析是一种广泛应用的投资策略。该策略基于数学和统计学模型,利用计算机算法来分析和预测金融市场,以获得更好的投资回报。使用python编程语言可以轻松地进行量化…

ChatGPT最大竞争对手来了,两分钟保姆级教程

这个教程前几天就要出了,一直排到今天。 我们都知道,因为ChatGPT在国内的各种限制,非常影响我们体验。 但是现在我们有了更多选择,ChatGPT最大的竞争对手横空出世 Claude的技术部分就来自于OpenAI,AIria测试下来Cla…

苹果IOS使用教程如何使用PPTP达到给手机换IP

IOS系统下使用PPTP教程,默认IOS10及以上系统不再支持PPTP,以IOS8系统为教程,仅供参考 第一步:打开设置 第二步:找到通用按键 第三步:找到这个协议 第四步:添加设备 第五步:根据商家提…

苹果IOS手机端该如何连接PPTP?

PPTP是一种协议,用以修改手机端和电脑端上的协议,且不需要安装额外的软件,就能屏蔽掉本地IP。 它为单地区和混拨。单地区就是指单个地区的IP,混拨指多个地区的IP。 不同的手机打开方式有点不一样,具体以手机为准&…

八丶傻妞新版教程+对接微信对接公众号对接TG(飞机)教程

没有服务器的先自行购买,这里推荐腾讯云2H4G8M首年70–点击购买 QQ交流:1014549449 --------------点击跳转 傻妞安装 老用户先执行 ,菜鸟直接删除原有的傻妞 delete silly compiled_at一键安装命令 aarm64;if [[ $(uname -a | grep &qu…

Android开发——项目实例(三)迷你背单词软件(第三版)单词录入、背诵、联网查词、单词库

软件效果图 源码地址: 链接:https://pan.baidu.com/s/1NivmPpx6ZUDEmSMtWzVziQ 提取码:8pin

(新东方)背单词,记住这200个词根词缀就够了(我自用)

“无意中发现了一个巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,而且非常风趣幽默,像看小说一样!觉得太牛了,所以分享给大家。点这里可以跳转到教程。”。 帮助记忆前缀: a.b.c.…

单词发音,为语音识别准备素材

单词发音,为语音识别准备素材 环境windows下安装pyttsx3linux下安装pyttsx3 界面展示图形化界面输出文档 写作过程注意事项完整代码 环境 这里我用的是python3.7.9。pycharm编译器。windows系统。windows下安装pyttsx3 pip install pyttsx3linux下安装pyttsx3 li…

文心一言-适用的精美 prompt-调教手册

文心一言简介 文心一言是百度推出对标chatGPT的产品,也是国内大厂首个发布的大模型语言类产品。文心一言知识增强大语言模型百度全新一代知识增强大语言模型,文心大模型家族的新成员,能够与人对话互动,回答问题,协助创…

从3s到25ms!看看京东的接口优化技巧,确实很优雅!!

点击关注公众号,Java干货及时送达 学习 Spring Cloud 微服务的正确姿势! 用上 ChatGPT 啦,强的离谱! 终于把 Spring Boot 3.0 写成书了! 来源:https://toutiao.io/posts/0kwkbbt 大家好,最近看到…

chatgpt赋能python:Python发送短信指南:你需要知道的一切

Python 发送短信指南:你需要知道的一切 Python 是一种高级编程语言,它的流行程度得益于其简单易学和高效的特性。Python 可以很容易地集成到各种应用程序中,用于发送短信。在本文中,我们将了解如何使用 Python 在不同平台和服务上…

chatgpt赋能python:Python操作ADB:实现Android设备的远程控制

Python操作ADB:实现Android设备的远程控制 1. 什么是ADB ADB(Android Debug Bridge)是一种基于命令行的工具,用于与连接的Android设备进行通信和操作。使用ADB,你可以在电脑上运行命令来控制设备,并且复制…

chatgpt赋能python:Python回滚-避免代码灾难的有效措施

Python回滚-避免代码灾难的有效措施 什么是Python回滚 Python回滚是一种避免代码灾难的有效措施,它可以让你在代码出现问题之后及时回退到之前的版本,保证系统不会受到影响。 回滚是一项非常重要的工作,越是复杂的项目越需要进行回滚。Pyt…

chatgpt赋能python:Pythonzmq库的介绍

Python zmq库的介绍 Python是一种强大的编程语言,它有着丰富的库和工具进行数据处理和网络通信。其中,zmq库是一种高效的消息传输协议,可以在本地或分布式环境中进行网络通信。本文将介绍Python zmq库的基本知识,以及如何在您的项…