http和https协议
HTTP:
超文本传输协议,是一个基于请求与响应,无状态的,应用层的协议,常基于TCP/IP协议传输数据,互联网上应用最为广泛的一种网络协议,所有的WWW文件都必须遵守这个标准。设计HTTP的初衷是为了提供一种发布和接收HTML页面的方法。
场景:逛电商商场用户需要使用的时间比较长,需要对用户一段时间的HTTP通信状态进行保存,比如执行一次登陆操作,在30分钟内所有的请求都不需要再次登陆。
通过Cookie/Session技术
HTTP/1.1持久连接(HTTP keep-alive)方法,只要任意一端没有明确提出断开连接,则保持TCP连接状态,在请求首部字段中的Connection: keep-alive即为表明使用了持久连接
HTTPS
(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。是一种通过计算机网络进行安全通信的传输协议。HTTPS经由HTTP进行通信,但利用SSL/TLS来加密数据包。
混合加密:结合非对称加密和对称加密技术。客户端使用对称加密生成**对传输数据进行加密,然后使用非对称加密的公钥再对秘钥进行加密,所以网络上传输的数据是被秘钥加密的密文和用公钥加密后的秘密秘钥,因此即使被黑客截取,由于没有私钥,无法获取到加密明文的秘钥,便无法获取到明文数据。
数字摘要:通过单向hash函数对原文进行哈希,将需加密的明文“摘要”成一串固定长度(如128bit)的密文,不同的明文摘要成的密文其结果总是不相同,同样的明文其摘要必定一致,并且即使知道了摘要也不能反推出明文。
数字签名技术:数字签名建立在公钥加密体制基础上,是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来,形成了实用的数字签名技术。
数字证书:就是服务器将公钥交给了第三方机构,然后第三方机构用自己的私钥将其加密后的结果,这个就是数字证书。如果客户端能够用第三方机构的公钥解密,获得数字证书,就说明这个公钥没有被调包过。因为如果中间人调包了这个数字证书,会用自己的私钥去加密这个证书,然后客户端用第三方机构的公钥并不能解密中间人发送的数据包。
数字签名:文件通过哈希生成文件摘要,文件摘要通过私钥进行加密生成数字签名。文件和数字签名打包发送给对方。
对方收到后提取文件,进行哈希运算生成文件摘要1+数字签名用公钥解密生成文件摘要2。对比二者是否一样。