聊一下HTTP 与 HTTPS 的区别，以及HTTPS 的加密方式

作为前端开发，或多或少都听过 HTTP 和 HTTPS 的区别，甚至在写接口地址时早已习惯加个 "s"，但你是否真正了解它们之间到底有什么不同？HTTPS 的安全到底"安全"在哪？今天我们就一起来聊聊！

一、HTTP 和 HTTPS，外表一样，灵魂不一样

从名字来看，HTTPS 就是在 HTTP 的基础上加了个 "S"，这个 "S" 是 Secure（安全） 的意思，也就是------加密过的 HTTP。

HTTP（HyperText Transfer Protocol）是超文本传输协议，它定义了客户端（通常是浏览器）和服务端如何通信。它是 明文传输 的，意味着你发送的每一个请求、表单、密码，只要被人截获，就能直接看到内容。

这就像你在大马路上大喊 "我银行卡密码是 123456！" ------ 谁路过谁都知道。

HTTPS 在 HTTP 基础上增加了一层加密------通过 SSL/TLS 协议 对数据进行加密。简单理解，就是给数据包套上一层"保险箱"，别人即使截获了，也打不开。

你可能会说，HTTPS 要多消耗一点性能啊，那我是不是可以只在登录、支付这些页面用 HTTPS？

这个做法在十年前可能合理，但现在几乎所有网站（包括博客、静态站）都默认全站 HTTPS，主要是因为：

很多人听到加密就头大，说什么对称加密、非对称加密一堆术语。其实不用太复杂，我们可以先理解"交换钥匙"的过程：

对称加密就像两个人用同一把钥匙开门，比如 AES、DES。加密快，但问题是：密钥怎么传给对方？

如果我用快递寄给你密钥，一路上被人偷走，那就白加密了。

这时就需要非对称加密，比如 RSA。有一把"公钥"和一把"私钥"。

比如你用我网站的公钥加密一段内容，只有我能解开。这样密钥就不用暴露在路上了，安全。

但非对称加密效率很低，尤其是对大文件。所以我们要 两者结合使用。

阶段1：握手阶段（用非对称加密）

阶段2：数据传输阶段（用对称加密）

想象你要给朋友寄一个装满钱的箱子：

arduino 复制代码

客户端 → 服务器: "我支持这些加密算法"
服务器 → 客户端: "我选择AES-256，这是我的证书和公钥"
客户端 → 服务器: "好的，我生成了一个随机数，用你的公钥加密发给你"
服务器 → 客户端: "收到，我们现在都有了相同的密钥"
双方: "开始用AES-256加密传输数据"

这就是为什么HTTPS既安全又不会太慢的原因。它在建立连接时花一点时间用非对称加密"握手"，然后在传输数据时用高效的对称加密。

不能说绝对，但比明文 HTTP 强太多太多。

HTTPS 可以防止：

但要注意几点：