HTTP和HTTPS协议

一、HTTP介绍

（1）定义：

　　HTTP超文本传输协议，是一个基于请求与响应，无状态的，应用层的协议，常基于TCP/IP协议传输数据，主要作用是提供一种发布和接收HTML页面的方法。

（2）特点：
　　1、无状态：协议对客户端没有状态存储，对于事务处理没有记忆能力，后续操作需要前面的信息则需要重新传输。
　　2、无连接：HTTP/1.1之前，由于无状态特点，每次请求需要通过TCP三次握手四次挥手，和服务器重新建立连接。限制每次连接只处理一个请求。服务器处理完请求，并收到客户的应答后，即断开连接，为了弥补这种不足，产生了两项记录http状态的技术，一个叫做Cookie,一个叫做Session。

　　3、通信使用明文、请求和响应不会对通信方进行确认、无法保护数据的完整性。

二、HTTPS介绍

（1）定义：

　　HTTPS是一种通过计算机网络进行安全通信的传输协议，经由HTTP进行通信，利用SSL/TLS协议建立信息安全通道，加密数据包。主要作用是保证数据传输的隐私安全与完整，对网站进行身份认证，确认其真实性。

　　SSL（Secure Socket Layer，安全套接字层）：1994年为 Netscape 所研发，SSL 协议位于 TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持。

　　TLS（Transport Layer Security，传输层安全）：同样也是安全传输层协议，其前身是 SSL，是IETF将SSL标准化并改名后的产物。

（2）特点：

　　1、内容加密：采用混合加密技术，中间者无法直接查看明文内容

　　2、验证身份：通过证书认证客户端访问的是自己的服务器

　　3、保护数据完整性：防止传输的内容被中间人冒充或者篡改

（3）工作原理：

　　1、客户端通过URL访问服务器要求建立SSL连接。

　　2、服务端收到客户端请求后，会将网站支持的证书信息（证书中包含公钥）传送一份给客户端。

　　3、客户端的浏览器与服务端开始协商SSL连接的安全等级，也就是信息加密的等级。

　　4、客户端的浏览器根据双方同意的安全等级，建立会话密钥，然后利用网站的公钥将会话密钥加密，并传送给网站。

　　5、服务器利用自己的私钥解密出会话密钥。

　　6、服务器利用会话密钥加密与客户端之间的通信。

三、HTTP和HTTPS的区别

1、HTTP 明文传输，数据都是未加密的，安全性较差，HTTPS数据传输过程是加密的，安全性较好。

2、HTTPS 协议需要到 CA（Certificate Authority，数字证书认证机构） 申请证书，需要一定费用。

3、HTTP 页面响应速度比 HTTPS 快，主要是因为 HTTP 使用 TCP 三次握手建立连接，客户端和服务器需要交换 3 个包，而 HTTPS除了 TCP 的三个包，还要加上 ssl 握手需要的 9 个包，所以一共是 12 个包。

4、http 和 https 的连接方式不同，用的端口也不一样，http是 80，https是 443。