HTTP協議和HTTPS協議初探
概況
HTTP是hypertext transfer protocol(超文本傳輸協議)的簡寫。它是TCP/IP協議的一個應用層協議,用於定義WEB瀏覽器與WEBserver之間交換數據的過程。
HTTP是一個屬於應用層的面向對象的協議,因為其簡捷、高速的方式,適用於分布式超媒體信息系統。它於1990年提出。經過幾年的使用與發展。得到不斷地完好和擴展。眼下在WWW中使用的是HTTP/1.0的第六版,HTTP/1.1的規範化工作正在進行之中,並且HTTP-NG(Next Generation of HTTP)的建議已經提出。
主要特點
HTTP協議的主要特點可概括例如以下:
- 1.支持客戶/server模式。
- 2.簡單高速:客戶向server請求服務時,僅僅需傳送請求方法和路徑。
請求方法經常使用的有GET、HEAD、POST。每種方法規定了客戶與server聯系的類型不同。因為HTTP協議簡單。使得HTTPserver的程序規模小,因而通信速度非常快。
- 3.靈活:HTTP同意傳輸隨意類型的數據對象。
正在傳輸的類型由Content-Type加以標記。
- 4.無連接:無連接的含義是限制每次連接僅僅處理一個請求。server處理完客戶的請求,並收到客戶的應答後,即斷開連接。採用這樣的方式能夠節省傳輸時間。
- 5.無狀態:HTTP協議是無狀態協議。無狀態是指協議對於事務處理沒有記憶能力。缺少狀態意味著假設興許處理須要前面的信息。則它必須重傳,這樣可能導致每次連接傳送的數據量增大。
還有一方面,在server不須要先前信息時它的應答就較快
。
HTTP協議
HTTP協議具體解釋之URL
http(超文本傳輸協議)是一個基於請求與響應模式的、無狀態的、應用層的協議。常基於TCP的連接方式,HTTP1.1版本號中給出一種持續連接的機制,絕大多數的Web開發,都是構建在HTTP協議之上的Web應用。
HTTP URL (URL是一種特殊類型的URI,包括了用於查找某個資源的足夠的信息)的格式例如以下:
http://host[":"port][abs_path]
http表示要通過HTTP協議來定位網絡資源;
host表示合法的Internet主機域名或者IP地址;
port指定一個端口號。為空則使用缺省端口80;
abs_path指定請求資源的URI。
假設URL中沒有給出abs_path,那麽當它作為請求URI時,必須以“/”的形式給出,通常這個工作瀏覽器自己主動幫我們完畢。
舉例:
eg: http:192.168.0.1:8080/index.jsp
HTTP協議具體解釋之請求
http請求由三部分組成,各自是:請求行、消息報頭、請求正文
請求行
請求行以一個方法符號開頭,以空格分開。後面跟著請求的URI和協議的版本號,格式例如以下:
Method Request-URI HTTP-Version CRLF
當中 :
Method表示請求方法。
Request-URI是一個統一資源標識符;
HTTP-Version表示請求的HTTP協議版本號。
CRLF表示回車和換行(除了作為結尾的CRLF外,不同意出現單獨的CR或LF字符)。
請求方法(全部方法全為大寫):
- GET 請求獲取Request-URI所標識的資源
- POST 在Request-URI所標識的資源後附加新的數據
- HEAD 請求獲取由Request-URI所標識的資源的響應消息報頭
- PUT 請求server存儲一個資源。並用Request-URI作為其標識
- DELETE 請求server刪除Request-URI所標識的資源
- TRACE 請求server回送收到的請求信息,主要用於測試或診斷
- CONNECT 保留將來使用
- OPTIONS 請求查詢server的性能,或者查詢與資源相關的選項和需求
應用舉例:
GET方法:在瀏覽器的地址欄中輸入網址的方式訪問網頁時,瀏覽器採用GET方法向server獲取資源。eg:GET /form.html HTTP/1.1 (CRLF)
POST方法:要求被請求server接受附在請求後面的數據,經常使用於提交表單。
eg:POST /reg.jsp HTTP/ (CRLF)
Accept:image/gif,image/x-xbit,… (CRLF)
…
HOST:XXX.XX.XX (CRLF)
Content-Length:22 (CRLF)
Connection:Keep-Alive (CRLF)
Cache-Control:no-cache (CRLF)
(CRLF) //該CRLF表示消息報頭已經結束。在此之前為消息報頭
user=username&pwd=password//此行下面為提交的數據
HEAD方法與GET方法差點兒是一樣的。對於HEAD請求的回應部分來說。它的HTTP頭部中包括的信息與通過GET請求所得到的信息是同樣的。利用這種方法,不必傳輸整個資源內容。就能夠得到Request-URI所標識的資源的信息。
該方法經常使用於測試超鏈接的有效性,能否夠訪問。以及近期是否更新。
請求報頭後述
請求正文
HTTP協議具體解釋之響應
在接收和解釋請求消息後。server返回一個HTTP響應消息。
HTTP響應也是由三個部分組成,各自是:狀態行、消息報頭、響應正文
狀態行格式例如以下
HTTP-Version Status-Code Reason-Phrase CRLF
當中:
HTTP-Version表示serverHTTP協議的版本號;
Status-Code表示server發回的響應狀態代碼;
Reason-Phrase表示狀態代碼的文本描寫敘述。
狀態代碼有三位數字組成,第一個數字定義了響應的類別,且有五種可能取值:
- 1xx:信息響應類,表示接收到請求並且繼續處理
- 2xx:處理成功響應類,表示動作被成功接收、理解和接受
- 3xx:重定向響應類,為了完畢指定的動作。必須接受進一步處理
- 4xx:client錯誤。客戶請求包括語法錯誤或者是不能正確運行
- 5xx:服務端錯誤,server不能正確運行一個正確的請求
常見狀態代碼、狀態描寫敘述、說明:
- 200 OK //client請求成功
- 400 Bad Request //client請求有語法錯誤,不能被server所理解
- 401 Unauthorized //請求未經授權,這個狀態代碼必須和WWW-Authenticate報頭域一起使用
- 403 Forbidden //server收到請求,可是拒絕提供服務
- 404 Not Found //請求資源不存在,eg:輸入了錯誤的URL
- 500 Internal Server Error //server發生不可預期的錯誤
- 503 Server Unavailable //server當前不能處理client的請求,一段時間後可能恢復正常
eg:HTTP/1.1 200 OK (CRLF)
響應報頭後述
響應正文就是server返回的資源的內容
HTTP協議具體解釋之消息報頭
HTTP消息由client到server的請求和server到client的響應組成。請求消息和響應消息都是由開始行(對於請求消息,開始行就是請求行,對於響應消息。開始行就是狀態行),消息報頭(可選),空行(僅僅有CRLF的行),消息正文(可選)組成。
HTTP消息報頭包括普通報頭、請求報頭、響應報頭、實體報頭。
每個報頭域都是由名字+“:”+空格+值 組成,消息報頭域的名字是大寫和小寫無關的。
普通報頭
在普通報頭中,有少數報頭域用於全部的請求和響應消息,但並不用於被傳輸的實體。僅僅用於傳輸的消息。
eg:Cache-Control 用於指定緩存指令,緩存指令是單向的(響應中出現的緩存指令在請求中未必會出現),且是獨立的(一個消息的緩存指令不會影響還有一個消息處理的緩存機制)。HTTP1.0使用的相似的報頭域為Pragma。
- 請求時的緩存指令包括:no-cache(用於指示請求或響應消息不能緩存)、no-store、max-age、max-stale、min-fresh、only-if-cached;
- 響應時的緩存指令包括:public、private、no-cache、no-store、no-transform、must-revalidate、proxy-revalidate、max-age、s-maxage.
eg:為了指示IE瀏覽器(client)不要緩存頁面,server端的JSP程序能夠編寫例如以下:
response.setHeader("Cache-Control","no-cache");
//response.setHeader("Pragma","no-cache");作用相當於上述代碼,通常兩者//合用
這句代碼將在發送的響應消息中設置普通報頭域:Cache-Control:no-cache
Date普通報頭域表示消息產生的日期和時間
Connection普通報頭域同意發送指定連接的選項。
比如指定連接是連續,或者指定“close”選項,通知server,在響應完畢後。關閉連接.
請求報頭
請求報頭同意client向server端傳遞請求的附加信息以及client自身的信息。
經常使用的請求報頭:
Accept請求報頭域用於指定client接受哪些類型的信息。
舉例:
Accept:image/gif,表明client希望接受GIF圖象格式的資源。
Accept:text/html。表明client希望接受html文本。Accept-Charset請求報頭域用於指定client接受的字符集。
舉例:Accept-Charset:iso-8859-1,gb2312.
假設在請求消息中沒有設置這個域,缺省是不論什麽字符集都能夠接受。- Accept-Encoding請求報頭域相似於Accept。可是它是用於指定可接受的內容編碼。
舉例:Accept-Encoding:gzip.deflate.
假設請求消息中沒有設置這個域server假定client對各種內容編碼都能夠接受。 - Accept-Language請求報頭域相似於Accept,可是它是用於指定一種自然語言。
舉例:Accept-Language:zh-cn.
假設請求消息中沒有設置這個報頭域,server假定client對各種語言都能夠接受。 - Authorization 請求報頭域主要用於證明client有權查看某個資源。當瀏覽器訪問一個頁面時。假設收到server的響應代碼為401(未授權),能夠發送一個包括Authorization請求報頭域的請求,要求server對其進行驗證。
- Host請求報頭域主要用於指定被請求資源的Internet主機和端口號。它通常從HTTP URL中提取出來的。發送請求時。該報頭域是必需的。
比方 我們在瀏覽器中輸入:http://www.imooc.com/index.jsp
瀏覽器發送的請求消息中,就會包括Host請求報頭域。例如以下:Host:www.imooc.com
此處使用缺省端口號80。若指定了端口號,則變成:Host:www.imooc.com:指定端口號。 - User-Agent我們上網登陸論壇的時候,往往會看到一些歡迎信息。當中列出了你的操作系統的名稱和版本號。你所使用的瀏覽器的名稱和版本號,這往往讓非常多人感到非常奇妙,實際上,server應用程序就是從User-Agent這個請求報頭域中獲取到這些信息。
User-Agent請求報頭域同意client將它的操作系統、瀏覽器和其它屬性告訴server。
只是。這個報頭域沒必要的。假設我們自己編寫一個瀏覽器,不使用User-Agent請求報頭域。那麽server端就無法得知我們的信息了。
請求報頭舉例:
響應報頭
響應報頭同意server傳遞不能放在狀態行中的附加響應信息,以及關於server的信息和對Request-URI所標識的資源進行下一步訪問的信息。
經常使用的響應報頭
Location響應報頭域用於重定向接受者到一個新的位置。Location響應報頭域經常使用在更換域名的時候。
Server響應報頭域包括了server用來處理請求的軟件信息。與User-Agent請求報頭域是相相應的。下面是Server響應報頭域的一個樣例:Server:nginx
WWW-Authenticate響應報頭域必須被包括在401(未授權的)響應消息中,client收到401響應消息時候,並發送Authorization報頭域請求server對其進行驗證時,服務端響應報頭就包括該報頭域。
eg:WWW-Authenticate:Basic realm=”Basic Auth Test!” //能夠看出server對請求資源採用的是基本驗證機制。
實體報頭
請求和響應消息都能夠傳送一個實體。一個實體由實體報頭域和實體正文組成。但並非說實體報頭域和實體正文要在一起發送。能夠僅僅發送實體報頭域。實體報頭定義了關於實體正文(eg:有無實體正文)和請求所標識的資源的元信息。
經常使用的實體報頭:
- Content-Encoding實體報頭域被用作媒體類型的修飾符,它的值指示了已經被應用到實體正文的附加內容的編碼,因而要獲得Content-Type報頭域中所引用的媒體類型,必須採用相應的解碼機制。
ContentEncoding這樣用於記錄文檔的壓縮方法,eg:Content-Encoding:gzip
- Content-Language實體報頭域描寫敘述了資源所用的自然語言。沒有設置該域則覺得實體內容將提供給全部的語言閱讀
者。eg:Content-Language:da - Content-Length實體報頭域用於指明實體正文的長度,以字節方式存儲的十進制數字來表示。
- Content-Type實體報頭域用語指明發送給接收者的實體正文的媒體類型。eg:Content-Type:text/html;charset=ISO-8859-1 Content-Type:text/html;charset=GB2312
- Last-Modified實體報頭域用於指示資源的最後改動日期和時間。
- Expires實體報頭域給出響應過期的日期和時間。為了讓代理server或瀏覽器在一段時間以後更新緩存中(再次訪問曾訪問過的頁面時。直接從緩存中載入,縮短響應時間和減少server負載)的頁面。我們能夠使用Expires實體報頭域指定頁面過期的時間。eg:Expires:Thu,15 Sep 2006 16:23:12 GMT
HTTP1.1的client和緩存必須將其它非法的日期格式(包括0)看作已經過期。eg:為了讓瀏覽器不要緩存頁面,我們也能夠利用Expires實體報頭域,設置為0,jsp中程序例如以下:response.setDateHeader(“Expires”,”0”);
工具類HttpUtil.java
import java.io.IOException;
import java.io.UnsupportedEncodingException;
import org.apache.http.HttpEntity;
import org.apache.http.HttpResponse;
import org.apache.http.client.ClientProtocolException;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.entity.StringEntity;
import org.apache.http.impl.client.DefaultHttpClient;
import org.apache.http.params.HttpConnectionParams;
import org.apache.http.params.HttpParams;
import org.apache.http.util.EntityUtils;
public class HttpUtil {
public static String httpGet(String httpUrl) {
String result = "";
DefaultHttpClient httpclient = new DefaultHttpClient();// 創建httpclient
HttpGet httpget = new HttpGet(httpUrl);
HttpResponse response = null;
HttpParams params = httpclient.getParams(); // 計算網絡超時用
HttpConnectionParams.setConnectionTimeout(params, 15 * 1000);
HttpConnectionParams.setSoTimeout(params, 20 * 1000);
try {
response = httpclient.execute(httpget);
HttpEntity entity = response.getEntity();// 得到http的內容
response.getStatusLine().getStatusCode();// 得到http的狀態返回值
result = EntityUtils.toString(response.getEntity());// 得到具體的返回值。通常是xml文件
entity.consumeContent();// 假設entity不為空,則釋放內存空間
httpclient.getCookieStore();// 得到cookis
httpclient.getConnectionManager().shutdown();// 關閉httpclient
} catch (ClientProtocolException e) {
e.printStackTrace();
} catch (IOException e) {
e.printStackTrace();
}
return result;
}
public static String httpPost(String httpUrl, String data) {
String result = "";
DefaultHttpClient httpclient = new DefaultHttpClient();
HttpPost httpPost = new HttpPost(httpUrl);
// httpclient.setCookieStore(DataDefine.mCookieStore);
HttpParams params = httpclient.getParams(); // 計算網絡超時用
HttpConnectionParams.setConnectionTimeout(params, 15 * 1000);
HttpConnectionParams.setSoTimeout(params, 20 * 1000);
httpPost.setHeader("Content-Type", "text/xml");
StringEntity httpPostEntity;
try {
httpPostEntity = new StringEntity(data, "UTF-8");
httpPost.setEntity(httpPostEntity);
HttpResponse response = httpclient.execute(httpPost);
HttpEntity entity = response.getEntity();// 得到http的內容
response.getStatusLine().getStatusCode();// 得到http的狀態返回值
result = EntityUtils.toString(response.getEntity());// 得到具體的返回值。通常是xml文件
entity.consumeContent();// 假設entity不為空,則釋放內存空間
httpclient.getCookieStore();// 得到cookis
httpclient.getConnectionManager().shutdown();// 關閉httpclient
} catch (Exception e) {
e.printStackTrace();
} // base64是經過編碼的字符串,能夠理解為字符串 // StringEntity
try {
httpPostEntity = new StringEntity("UTF-8");
} catch (UnsupportedEncodingException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
return result;
}
}HTTPS協議
HTTPS協議概述
HTTPS(Hypertext Transfer Protocol over Secure Socket Layer。基於SSL的HTTP協議)使用了HTTP協議。但HTTPS使用不同於HTTP協議的默認端口及一個加密、身份驗證層(HTTP與TCP之間)。這個協議的最初研發由網景公司進行,提供了身份驗證與加密通信方法,如今它被廣泛用於互聯網上安全敏感的通信。HTTPS是一個安全通信通道,用於在客戶計算機和server之間交換信息。它使用安全套接字層(SSL)進行信息交換,簡單來說它是HTTP的安全版。
它是由Netscape開發並內置於其瀏覽器中,用於對數據進行壓縮和解壓操作。並返回網絡上傳送回的結果。
HTTPS實際上應用了Netscape的安全全套接字層(SSL)作為HTTP應用層的子層。(HTTPS使用端口443。而不是象HTTP那樣使用端口80來和TCP/IP進行通信。)SSL使用40 位關鍵字作為RC4流加密算法,這對於商業信息的加密是合適的。HTTPS和SSL支持使用X。509數字認證。假設須要的話用戶能夠確認發送者是誰。
使用HTTPS步驟
client在使用HTTPS方式與Webserver通信時有下面幾個步驟。
(1)客戶使用https的URL訪問Webserver,要求與Webserver建立SSL連接。
(2)Webserver收到client請求後。會將站點的證書信息(證書中包括公鑰)傳送一份給client。
(3)client的瀏覽器與Webserver開始協商SSL連接的安全等級,也就是信息加密的等級。
(4)client的瀏覽器依據兩方同意的安全等級,建立會話密鑰,然後利用站點的公鑰將會話密鑰加密,並傳送給站點。
(5)Webserver利用自己的私鑰解密出會話密鑰。
(6)Webserver利用會話密鑰加密與client之間的通信。
工具類HttpsUtils.java
import java.io.BufferedReader;
import java.io.DataOutputStream;
import java.io.InputStreamReader;
import java.net.HttpURLConnection;
import java.net.URL;
import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.HttpsURLConnection;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManager;
public class HttpsUtil {
static TrustManager[] xtmArray = new MytmArray[] { new MytmArray() };// 創建信任規則列表
private final static int CONNENT_TIMEOUT = 15000;
private final static int READ_TIMEOUT = 15000;
static HostnameVerifier DO_NOT_VERIFY = new HostnameVerifier() {
public boolean verify(String hostname, SSLSession session) {
return true;
}
};
/**
* * 信任全部主機-對於不論什麽證書都不做檢查 Create a trust manager that does not validate *
* certificate chains, Android 採用X509的證書信息機制,Install the all-trusting trust
* * manager
*/
private static void trustAllHosts() {
try {
SSLContext sc = SSLContext.getInstance("TLS");
sc.init(null, xtmArray, new java.security.SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory()); // 不進行主機名確認,對全部主機
HttpsURLConnection.setDefaultHostnameVerifier(DO_NOT_VERIFY);
} catch (Exception e) {
e.printStackTrace();
}
}
// https get方法,返回值是https請求。服務端返回的數據string類型,數據進行xml解析
public static String HttpsGet(String httpsurl) {
return HttpsPost(httpsurl, null);
}
/**
* https post方法。返回值是https請求,服務端返回的數據string類型,數據進行xml解析
*/
public static String HttpsPost(String httpsurl, String data) {
String result = null;
HttpURLConnection http = null;
URL url;
try {
url = new URL(httpsurl); // 推斷是http請求還是https請求
if (url.getProtocol().toLowerCase().equals("https")) {
trustAllHosts();
http = (HttpsURLConnection) url.openConnection();
((HttpsURLConnection) http).setHostnameVerifier(DO_NOT_VERIFY);// 不進行主機名確認
} else {
http = (HttpURLConnection) url.openConnection();
}
http.setConnectTimeout(CONNENT_TIMEOUT);// 設置超時時間
http.setReadTimeout(READ_TIMEOUT);
if (data == null) {
http.setRequestMethod("GET");// 設置請求類型
http.setDoInput(true);
// http.setRequestProperty("Content-Type", "text/xml");
if (AppSession.mCookieStore != null)
http.setRequestProperty("Cookie", AppSession.mCookieStore);
} else {
http.setRequestMethod("POST");// 設置請求類型為post
http.setDoInput(true);
http.setDoOutput(true);
// http.setRequestProperty("Content-Type", "text/xml");
if (AppSession.mCookieStore != null && AppSession.mCookieStore.trim().length() > 0)
http.setRequestProperty("Cookie", AppSession.mCookieStore);
DataOutputStream out = new DataOutputStream(http.getOutputStream());
out.writeBytes(data);
out.flush();
out.close();
} // 設置http返回狀態200(ok)還是403
AppSession.httpsResponseCode = http.getResponseCode();
BufferedReader in = null;
if (AppSession.httpsResponseCode == 200) {
getCookie(http);
in = new BufferedReader(new InputStreamReader(http.getInputStream()));
} else
in = new BufferedReader(new InputStreamReader(http.getErrorStream()));
String temp = in.readLine();
while (temp != null) {
if (result != null)
result += temp;
else
result = temp;
temp = in.readLine();
}
in.close();
http.disconnect();
} catch (Exception e) {
e.printStackTrace();
}
return result;
}
/** * 得到cookie * */
private static void getCookie(HttpURLConnection http) {
String cookieVal = null;
String key = null;
AppSession.mCookieStore = "";
for (int i = 1; (key = http.getHeaderFieldKey(i)) != null; i++) {
if (key.equalsIgnoreCase("set-cookie")) {
cookieVal = http.getHeaderField(i);
cookieVal = cookieVal.substring(0, cookieVal.indexOf(";"));
AppSession.mCookieStore = AppSession.mCookieStore + cookieVal + ";";
}
}
}
}總的來說。http效率更高,https安全性更高。
兩者的差別
- https協議須要到ca申請證書。一般免費證書非常少,須要交費。
- http是超文本傳輸協議,信息是明文傳輸。https 則是具有安全性的ssl加密傳輸協議
- http和https使用的是全然不同的連接方式用的端口也不一樣:前者是80,後者是443。
- http的連接非常easy,是無狀態的 ,HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議 ,要比http協議安全。
HTTPS解決的問題:
1、信任主機的問題。
採用https 的server 必須從CA 申請一個用於證明server用途類型的證書。
該證書僅僅實用於相應的server 的時候,客戶度才信任此主機。所以眼下全部的銀行系統站點。關鍵部分應用都是https 的。 客戶通過信任該證書。從而信任了該主機。事實上這樣做效率非常低,可是銀行更側重安全。 這一點對我們沒有不論什麽意義,我們的server,採用的證書無論自己issue 還是從公眾的地方issue。 client都是自己人,所以我們也就肯定信任該server。
2、通訊過程中的數據的泄密和被竄改。
1)一般意義上的https。 就是 server 有一個證書。
主要目的是保證server 就是他聲稱的server。
這個跟第一點一樣。
服務端和client之間的全部通訊。都是加密的。
具體講。是client產生一個對稱的密鑰。通過server 的證書來交換密鑰。 一般意義上的握手過程。
加下來全部的信息往來就都是加密的。
第三方即使截獲,也沒有不論什麽意義。因為他沒有密鑰。當然竄改也就沒有什麽意義了。
2)少許對client有要求的情況下。會要求client也必須有一個證書。
這裏client證書,事實上就相似表示個人信息的時候,除了用戶名/密碼, 還有一個CA 認證過的身份。
應為個人證書一般來說上別人無法模擬的,全部這樣能夠更深的確認自己的身份。
眼下少數個人銀行的專業版是這樣的做法。具體證書可能是拿U盤作為一個備份的載體。 HTTPS 一定是繁瑣的。
本來簡單的http協議。一個get一個response。因為https 要還密鑰和確認加密算法的須要。單握手就須要6/7 個往返。不論什麽應用中,過多的round trip 肯定影響性能。
接下來才是具體的http協議,每一次響應或者請求。 都要求client和服務端對會話的內容做加密/解密。
雖然對稱加密/解密效率比較高,可是仍然要消耗過多的CPU,為此有專門的SSL 芯片。 假設CPU 信能比較低的話。肯定會減少性能。從而不能serve 很多其它的請求。
SSL的簡單介紹
SSL是Netscape公司所提出的安全保密協議。在瀏覽器(如Internet Explorer、Netscape Navigator)和Webserver(如Netscape的Netscape Enterprise Server、ColdFusion Server等等)之間構造安全通道來進行數據傳輸,SSL運行在TCP/IP層之上、應用層之下,為應用程序提供加密數據通道,它採用了RC4、MD5 以及RSA等加密算法。使用40 位的密鑰,適用於商業信息的加密。
同一時候。Netscape公司相應開發了HTTPS協議並內置於其瀏覽器中,HTTPS實際上就是SSL over HTTP。它使用默認端口443。而不是像HTTP那樣使用端口80來和TCP/IP進行通信。HTTPS協議使用SSL在發送方把原始數據進行加密,然 後在接受方進行解密,加密和解密須要發送方和接受方通過交換共知的密鑰來實現,因此,所傳送的數據不easy被網絡黑客截獲和解密。
然而。加密和解密過程須要耗費系統大量的開銷,嚴重減少機器的性能,相關測試數據表明使用HTTPS協議數據傳輸的工作效率僅僅有使用HTTP協議傳輸的十 分之中的一個。
假如為了安全保密,將一個站點全部的Web應用都啟用SSL技術來加密,並使用HTTPS協議進行傳輸,那麽該站點的性能和效率將會大大減少。並且沒有這個必要。因為一般來說並非全部數據都要求那麽高的安全保密級別。所以,我們僅僅需對那些涉及機密數據的交互處理使用HTTPS協議,這樣就做到魚與熊掌兼得。總之不須要用https 的地方,就盡量不要用。
參考:http://aresxiong.com/2015/11/30/protocol_http_and_https
HTTP協議和HTTPS協議初探