基本概念
**HTTP(HyperText Transfer Protocol:超文本传输协议)**是一种应用层协议,主要用于在网络上进行信息的传递,特别是用于Web浏览器和服务器之间的通信。
它使用明文方式发送数据,这意味着传输的内容可以被任何拦截者轻易读取,因此它不适合用于传输敏感信息,如信用卡号、密码等。
HTTP默认工作在TCP协议的80端口
**HTTPS(Hypertext Transfer Protocol Secure:超文本传输安全协议)**是在HTTP的基础上添加了SSL/TLS加密层的安全版本。它不仅提供了数据的加密传输,还提供了对网站服务器的身份验证。
通过SSL/TLS,HTTPS能够确保数据在传输过程中的隐私和完整性,防止数据被窃取或篡改。
HTTPS默认工作在TCP协议的443端口。
工作流程
HTTP工作流程:
- TCP三次握手:客户端与服务器进行TCP连接,完成三次握手。
- 发送请求:客户端向服务器发送HTTP请求,包括请求行(如GET /index.html)、请求头和请求体。
- 服务器处理请求:服务器解析请求,并定位到相应的资源。
- 返回响应:服务器将资源以HTTP响应的形式返回给客户端,包括状态行、响应头和响应体。
- 关闭连接:通信结束后,客户端和服务器可以选择关闭连接,也可以保持连接以便后续的请求复用。
HTTPS工作流程:
- TCP三次握手:客户端与服务器建立TCP连接,完成三次握手。
- SSL/TLS握手:进行SSL/TLS握手,包括客户端验证服务器的数字证书,确保服务器的身份是可信的。
- 协商加密参数:通过非对称加密的方式,客户端和服务器协商出对称加密算法的密钥、Hash算法的密钥等加密参数。
- 建立加密隧道:SSL/TLS握手完成后,双方建立了一个加密的通信隧道,后续的所有数据都将在这个隧道中传输。
- 发送请求:在加密隧道中,客户端向服务器发送HTTP请求。
- 服务器处理请求:服务器解析请求,并返回相应的资源。
- 返回响应:在加密隧道中,服务器将资源以HTTP响应的形式返回给客户端。
- 关闭连接:通信结束后,可以选择关闭连接,也可以选择保持连接以便后续的请求复用。
看一张经典图加深理解(图源网络)
HTTP 与 HTTPS 的区别
从安全性角度来看,HTTP是超文本传输协议,数据传输过程是明文的,这意味着数据在传输过程中可能被截获或篡改,存在一定的安全风险。而HTTPS通过在TCP和HTTP之间加入SSL/TLS安全协议,对数据进行加密传输,有效地保护了数据的安全性和完整性。此外,HTTPS还提供了服务器身份认证,确保用户访问的是真实可靠的网站,而不是钓鱼网站。
从网络模型的角度来看,HTTP工作于应用层,而HTTPS由于加入了SSL/TLS安全层,可以认为是在传输层上增加了安全性处理。
从性能和资源消耗方面来看,由于HTTPS需要进行加密和解密操作,相较于HTTP,其速度可能会稍慢,且对服务器和客户端的资源消耗也更大。