[[261700]]

你知道HTTP訪問的交互過程嗎?

如題，可能有很多并不了解，本文將簡單地介紹一下當你訪問某網站時你的電腦與網站之間的數據交互過程。

大家都知道去訪問網站都是使用瀏覽器，在地址欄中輸入你想訪問的鏈接，按個回車就能打開相應的網站。然后就可以盡情得瀏覽網頁內容了。

那你知道WEB頁面如何呈現的嗎?

網頁內容肯定不會憑空出現，當你在瀏覽器地址欄中輸入URL(鏈接)時，WEB瀏覽器會發送相應的WEB請求信息到目標網站(服務器)，當目標網站服務器接收到請求時服務器回應相應的內容給你的瀏覽器(客戶端)，這樣你就看到了網頁內容。

不過這只是基本的訪問過程。這也是HTTP或HTTPS協議的數據交互的過程，但這個看似非常簡單的交互過程中隱藏著很多小交互過程，下面就來一個一個研究一下。

HTTP和HTTPS的區別

首先，先來掃個盲，平常我們在瀏覽網頁的時候可有很少關注這個網站是使用什么協議進行交互的，網頁數據交互分為兩種方式，一種就叫HTTP，別一種叫HTTPS。這兩種方式我們都統稱是HTTP協議，但卻各有技術上的不同點。

一般情況下，如果你訪問的網頁不需要你登陸或者并沒有登陸入口的這種網站通常情況下都會使用HTTP，但這不是絕對的，有些網站可能并不是這樣的。那怎么樣的網站才叫使用HTTP協議的呢?看下圖：

這是一個典型的HTTP協議交互的網站，看圖中標識的位置，在地址欄中的最開始位置，有個“不安全”提示，在URL的最前端也沒有任何標識。除了這種HTTP協議交互的網站以外呢就是HTTPS交互的網站的，這一類的網站是比較多的。

一般情況下，當這個網站需要登陸或者有登陸入口的，又或者這個網站提供了用戶數據的這一類網站通常都是HTTPS的，這類的網站非常多，比如網銀，比如郵箱等，又比如拼客學院官網：

看地址欄當中，明顯與HTTP協議交互的網站不一樣，地址欄位置沒有標識不安全，而且在URL的最前面標識了HTTPS://協議，這就是典型的HTTPS。我剛才說只要有登陸入口或者需要登陸網站基本都是用HTTPS，請注意，這不是絕對，你去看看上面4399小游戲那個網站，也是可以登陸的，這個網站可沒有使用HTTPS協議哦。

上面介紹了兩個協議，那這兩個協議僅僅只是URL不一樣這么簡單嗎?答案肯定不是的，我剛才有提到登陸，有登陸一般是HTTPS，沒有則一般是HTTP。既然關系到登陸，那就一定跟用戶數據有關系，那就需要有安全的保證，從上圖HTTP協議的URL中也看到不安全提示，意思也就是沒有安全的保證，用戶的數據有可能會被竊取，因此，HTTPS是安全的，HTTP則是不安全的。

它們的安全性主要體現在你的電腦(客戶端)與目標網站服務器之間，當你去訪問網站時，你的登陸信息，你的個人信息是被加密傳送的，如果在傳送數據中間，有黑客獲取了你的數據也不擔心，黑客一般無法破解你的信息，這個過程是安全的。而HTTP則不同了，黑客可以不費任何力氣地得到你的信息，看下圖：

從上圖看，黑客在網絡中竊取了用戶與Web服務器交互的數據，但拿到的信息只是亂碼，并不能正常顯示，也沒辦法破解。因此即使用戶發送的是用戶名密碼這樣的重要信息也不怕被竊取。

從上圖來看，使用HTTP協議來進行傳遞用戶名密碼，黑客在網絡中獲取了交互信息，可以輕松地查看到用戶發送的用戶名信息，這是一個非常危險的動作，如果你發送的是銀行卡賬號密碼的話后果將會很嚴重……

從上面兩張圖的對比不難得出結論，HTTPS是加密的，而HTTP是沒有加密的，因此黑客能夠直接查看到用戶名密碼。在實際生活中我們常用的網站基本都是基于HTTPS協議的，大家也不必感到驚慌，日常使用其實還是很安全的。

關于加密的問題

01 非對稱密鑰算法

在HTTPS協議中使用RSA加密算法，這種加密算法是一種非對稱加密算法，廣泛用于網頁加密。

非對稱密鑰算法會產生公鑰和私鑰兩種密鑰，一種用于加密，另一種就用于解密，而且兩個密鑰是完全不一樣完全不可相互推導。公鑰是發送給所有人的，而私鑰是擁有者自己妥善保管的。

它的工作過程是：用戶要把重要的東西加密會用接收者的公鑰對數據進行加密，然后將加密后的文件發送到接收端，接收者接收到加密的文件后用自己的私鑰對其進行解密就能夠得到明文。如下圖所示：

明文使用接收方的公鑰對其加密就得到密文了，這個過程就是加密的過程，密文在互聯網中傳遞時不用擔心被竊取的問題。當密文被傳遞到接收端，接收方再使用自己的私鑰對其解密，這個過程就是解密的過程。

這個方法看似很好用，但實際上并不是這樣的，因為像這樣的非對稱密鑰算法只有夠加密很小小的數據，超過幾百KB的文件都無法加密或加密需要非常長的時間，實際的應用中數據傳遞可不止區區幾百KB這么點，因此非對稱密鑰算法只能加密密鑰等數據非常小的東西，沒錯，你沒看錯，就是加密密鑰。那實際應用中這么大的數據又是怎么加密的?下面就再來講講對稱密鑰算法。

02 對稱密鑰算法

對稱密鑰算法常見的有AES,DES,3DES等，對稱密鑰算法與非對稱密鑰算法不同的是對數據進行加密和解密時用同一個密碼，這個密碼是同計算機隨機生成的。對稱密鑰算法的特點是加密速度很快且加密后的密文數據與原始的明文數據大小相差不會很大，比如加密1K的數據，加密后的密文可能只有1.1K，因此這種加密算法比較適合加密比較大的文件。

客戶端在發送數據到服務器端的時候會使用AES等對稱密鑰算法對需要加密的數據進行加密，加密會產生一個對稱密鑰的密碼，然后再將這個密碼用RSA非對稱密鑰來加密密鑰。

為什么要用RSA來加密密鑰?很顯然嘛，我把數據用一把鑰匙加密了，對方想要打開數據就必須要用我這把鑰匙才能打開，那我該怎么樣把這把鑰匙安全的送到對方手上?就是通過RSA來傳遞。

HTTPS是如何完整地并且安全地傳遞用戶數據的

下面就來看看它的加密與解密過程：

1.用戶發送請求到服務器，服務器接收到以后回應相應的請求信息(在這個回應信息里面服務器會帶上證書和一個服務器的公鑰)。

2.客戶端拿到證書后會先判斷一下這個證書的有效性(其實證書的作用是服務器向你表明身份，讓你知道現在回應你WEB信息的正是你要訪問的那個服務器)。

3.客戶端將要發送的數據先用對稱密鑰算法對其先加密，產生的密文先放一邊。

4.拿剛才加密產生的密文用剛才服務器發送過來的公鑰對這個密文加密，產生加密后的密碼。

5.把這個加過密的密碼與剛才使用對稱密鑰算法加密后的密文一起打包發給服務器。

6.服務器接收到這些東西以后首先拿出加過密的密碼，用自己的私鑰對其解密，得出密文，再對這個密文使用對稱密鑰算法進行解密，這樣，服務器就收到了客戶端發送的數據了。

過程如下圖：

如上加密過程可以保證數據的安全性，這是一個經典的數據加密通信的過程，這種解決方案在很多地方都有用到，不同的僅僅是加密算法的差異。