【Java EE初阶二十二】https的简单理解

1. 初识https

当前网络上,主要都是 HTTPS 了,很少能见到 HTTP.实际上 HTTPS 也是基于 HTTP.只不过 HTTPS 在 HTTP 的基础之上, 引入了"加密"机制；引入 HTTPS 防止你的数据被黑客篡改；

HTTPS 就是一个重要的保护措施.之所以能够安全, 最关键的在于"加密"；

1.1 关于明文和密文

明文：一般来说传递的原始全部信息称为明文；

密文：通过一些手段对明文进行特殊处理获取到的真正想传输的内容信息为密文；

一般来说，明文 + 密钥 => 密文；密文 + 密钥 => 明文；

1,2 秘钥加密方式

在密码学中,使用密钥加密, 有两种主要的方式.

1、对称加密.

加密和解密,使用的密钥是同一个密钥

设密钥为 key，则

明文 + key => 密文；密文 + key =>明文

2、非对称加密.

有两个密钥(一对)，这俩密钥,一个称为"公钥",一个称为"私钥"(公钥就是可以公开的,私钥就是自己藏好的)，则规则如下：

明文 + 公钥 => 密文，密文 + 私钥 =>明文或者

明文 + 私钥 =>密文，密文 + 公钥 =>明文；

主要就是用一个钥匙加密,就用另一个钥匙解密；

2. https的工作过程

https工作目标是针对 HTTP 这里的 header 和 body 进行加密；

2.1 先引入对称加密

详细的请求图解如下所示：

上面的模型存在一个重要问题，服务器不是只和一个客户端通信, 而是和很多客户端通信,

这些客户端使用的对称密钥必须要求每个客户端的密钥都不相同,彼此之间才不能知道对方的密钥的；所以服务器就需要记录不同客户端的秘钥，如下所示：

如上图所示，此时要求每个客户端对应的密钥都不同.现在就需要每个客户端,在和服务器建立连接的时候,就把密钥给生成出来 (涉及到一些随机数机制在里面,保证每个客广端生成的密钥都不同)，客户端再把自己的密钥通过网络传输给服务器；

秘钥被黑客截获之后的原理如下所示：

2.2 非对称加密

为了解决上述安全传输密钥的问题,引入了"非对称加密"，非对称加密中,有一对密钥.公钥和私钥，可以使用公钥加密,私钥解密，或者使用私钥加密,公钥解密；其工作原理如下所示：

既然已经引入了非对称加密,为啥还需要引入对称加密呢?

一般来说直接使用非对称加密，来完成所有业务数据的加密传输即可，进行非对称加密/解密,运算成本是比较高的.运算速度也是比较低的.

对称加密,运算成本低, 速度快.

使用非对称加密,只是用来进行这种关键环节 (传输密钥)(一次性的工作,体积也不大),成本就比较可控

后续要传输大量的业务数据,都使用效率更高的对称加密,比较友好的做法.如果业务数据都使用非对称加密,整体的传输效率就会大打折扣了.

上述的对称加密+非对称加密过程就是https的基本盘，但是上述的流程中还存在一个严重的问题，就是黑客如果利用好这个漏洞，任然可以获取到明文数据；

2.3 中间人攻击

关于中间设备的入侵消息流程如下所示：

q：如何解决上述中间人攻击问题呢？

a：之所以能进行中间人攻击,关键要点在于客户端没有"分辨能力，客户端不知道当前这个公钥是不是黑客伪造的!这里的"分辨"不能靠"自证"(谁都是说自己是真的)，所以最好的方法就是引入第三方可以被大家都信任的"公证机构"，公证机构说这个公钥是正确的,不是被伪造的,我们就是可以信任的；

2.4 使用证书，校验服务器的公钥

关于公正机构何生成数字签名的流程如下图所示：

如上图所示，客户端拿到了证书,也就拿到了证书中的公钥，客户端就需要验证这个公钥是否是服务器最初的公钥(是否是被黑客篡改了??)，这个过程, 就称为"证书的校验"；

如何进行校验?

其核心机制,就是"数字签名"=> 被加密后的校验和,（拿着数据的每个字节,带入公式,就能算出一个结果数字，称为校验和），此时, 客户端拿到了数字签名,就可以通过系统内置的公正机构的公钥，进行解密之后得到最初的校验和；客户端再重新计算一遍这里的校验和, 和解密出来的校验和进行对比，如果校验和一致,就可以认为证书没有被篡改过,公钥就是可信的 (服务器原始的公钥）

故此在上述机制下,黑客就无法对证书内容进行篡改了.即使篡改,也很容易被发现.当黑客收到证书之后,如果直接修改里面的公钥,替换成自己的,客户端在进行证书校验的时候,就会发现校验和不一致了，随意客户端就可以认为证书是篡改过了.(客户端这边往往就会弹出一些对话框来警告用户,存在安全风险)

q：那么黑客替换公钥之后，能否自己替换掉数字签名，自己计算一个呢？

a：不能的!校验和好算,针对校验和加密,需要使用公证机构的私钥才能进行的，黑客没有这个私钥.如果黑客拿自己的私钥加密,客户端也就无法使用公证机构的公钥解密了，就有可能遇到这种情况，公证机构的公钥是客户端系统自带的，黑客也无法替换,

结合上述过程,证书就是可信的,通过了校验,就说明公钥就是服务器原始的公钥了

3. Tomcat

tomcat是HTTP 服务器，使用 HTTP 进行通信，就需要涉及到 HTTP 客户端和 HTTP 服务器

HTTP 客户端：浏览器，Postman，爬虫程序等；

HTTP 服务器：已经有现成的 http 服务器, 咱们只需要去使用或者基于这些 http 服务器进行二次开发即可，人家的代码已经把如何处理 http 请求,如何构造 http 响应都封装好了，咱们只需要调用这些 api 来构造咱们的业务逻辑即可（即自己制作一个相应的网站）；

3.1 下载tomact

1、进入官网

2、选择 Tomcat8 系列版本

3、下载压缩包

4、直接使用即可

3.2 认识tomcat

Tomcat 是一个 Java 写的 http 服务器，Tomcat 是一个基于 java 实现的"绿色软件"，只要解压缩,就可以使用.(需要提前安装好 JDK)；下面认识一下关于tomcat文件夹里的相关文件及其作用；

1、bin目录

双击上述 startup.bat,就可以启动 tomcat，最终的 tomcat 就是一个控制台程序了故服务器开发的话,服务器基本上都是控制台程序,(一般来说都是不带界面的）

关于tomcat启动失败的几个原因如下所示：

把 startup.bat 拖到 cmd 中运行,如果闪退,大概率 cmd 中能显示出出错信息

1）、端口被占用了

(已经启动 tomcat, 再启动第二个），或者电脑上可能装了其他的程序也占用了 8080(像Windows自带的 HTTP 服务器, lS)

2）、环境变量问题

(可能是 tomcat 找不到 jdk, 也可能是 tomcat 找不到自己所在的目录)，提示是缺哪个环境变量,就配置上即可.

Tomcat 启动成功之后,就可以通过浏览器来访问 tomcat 的欢迎页面.

tomcat 的日志,在控制台中,可能是乱码的，主要原因是Tomcat 默认使用的字符集是 utf8

而 windows cmd 的字符集是 gbk.
2、关于conf

conf 中放的是 tomcat 的配置文件，一个程序的功能可能是非常丰富的.就需要按需开启这里的某些功能.给程序猿使用的专业程序,一般很少会专门做一个界面,来让大家修改配置,我们一般就都是通过配置文件的方式来进行设置的；

3、关于log

日志是调试一个服务器程序最重要的手段.我们后续自己写的程序,代码中打印的日志,就可以在上述目录中看到；

日志,就是通过 System.out.printin 等方式打印的一些字符串.调试程序,就是使用调试器，打断点,单步执行；调试器不适合给服务器程序使用.给程序打个断点,服务器运行到断点,停下来了.(服务器就卡着了）此时此刻,其他客户端的请求可能就无法被响应了；

使用调试器的本质上是

1、更好的理解程序的实际执行过程.

2、更好的关注到某些临时结果(某个变量的中间的值）

使用日志的缺点：使用日志调试，每一次添加或改动日志，都需要重新编译运行一次，这就会花费很多的时间；

4、关于webapps

webapps 中,每个目录,都是一个 webapp (就包含了一个网站的后端代码和前端代码)；

这个目录中还能见到 .war 压缩包文件. war 包是使用 tomcat 发布程序的一种方式，写好的一个网站,就可以打包成 war 包,拷贝到 tomcat 的 webapp 里，tomcat 就会自动对 war包进行解压缩，从而完成网站的部署和加载；

下面通过一个例子来感受一下tomcat：

如上图所示，这就是 tomcat 的重要作用，可以让浏览器通过网络来访问到一个 html 页面.

而上图所示，则是直接双击打开html页面,这个做法是让浏览器打开一个本地文件

和上面是有本质区别的；