HTTP与HTTTPS的区别

一、HTTP和HTTTPS的概念

HTTP（Hypertext Transfer Protocol）：

HTTP是一种用于在Web浏览器和Web服务器之间传输数据的协议。它是一种无状态的协议，即每个请求和响应之间是相互独立的，服务器不会保留先前请求的任何信息。HTTP是基于客户端-服务器模型的协议，客户端发出请求，服务器回送响应。

主要特点：

1. 明文传输： HTTP传输的数据是明文的，不进行加密处理，因此容易被中间人截取和窃听。
   
2. 不具备安全性： 由于明文传输的特性，HTTP在处理敏感信息时存在安全风险。
   
3. 默认端口： HTTP默认使用端口80。
   
4. URL前缀： URL以 "http://" 开头。
   

HTTPS（Hypertext Transfer Protocol Secure）：

HTTPS是HTTP的安全版本，通过在HTTP上加入SSL/TLS协议，实现了对数据的加密和身份认证。HTTPS在数据传输的过程中提供了更高的安全性，适用于传输敏感信息的场景，如用户登录、支付等。

主要特点：

1. 加密传输： HTTPS通过使用SSL/TLS协议对传输的数据进行加密，保障了数据的机密性和完整性。
   
2. 身份认证： 使用SSL/TLS证书对服务器进行身份验证，确保用户连接到的是真实的服务器，而非中间人攻击。
   
3. 默认端口： HTTPS默认使用端口443。
   
4. URL前缀： URL以 "https://" 开头。
   
5. 证书要求： 使用SSL/TLS证书，由权威的证书颁发机构签发。
   
6. 安全性提高： 由于数据加密和身份认证的存在，HTTPS在保障用户隐私和信息安全方面明显优于HTTP。
   

二、HTTP 的 get 请求和 post 请求的区别？

GET请求：

1. 传递数据： 通过URL参数传递数据，将数据附加在URL的后面，以?分隔URL和参数，参数之间使用&连接。例如：http://example.com/resource?name=value&age=25。
   
2. 请求方式： GET请求是一种幂等的请求，意味着对同一URL的多个连续GET请求的结果应该是相同的，不会对服务器上的资源产生影响。
   
3. 数据大小限制： 由于数据是附加在URL上的，GET请求对传输的数据大小有限制，一般在几 KB 到几 MB 之间，具体限制取决于浏览器和服务器的配置。
   
4. 安全性： 相对于POST请求，GET请求的安全性较低。因为参数附加在URL上，敏感信息可能会被浏览器记录在浏览器历史、服务器日志等地方。
   
5. 可见性： 由于参数在URL上可见，因此不适合传输敏感信息。
   

POST请求：

1. 传递数据： POST请求通过请求体传递数据，数据不会附加在URL上，而是通过请求体进行传输。数据可以是表单字段、JSON等形式。
   
2. 请求方式： POST请求不是幂等的，即对同一URL的多个连续POST请求的结果可能会不同，POST请求通常用于对服务器资源的修改操作。
   
3. 数据大小限制： POST请求对传输的数据大小没有特定限制，可以传输较大的数据。
   
4. 安全性： 相对于GET请求，POST请求的安全性更高。因为数据不可见于URL，不容易被截取和篡改。适用于传输敏感信息。
   
5. 可见性： POST请求的数据不可见于URL，因此更适合传输一些敏感信息。
   

三、HTTPS 的工作原理：

HTTPS（Hypertext Transfer Protocol Secure）是在HTTP的基础上添加了安全性特性的协议。它通过使用SSL（Secure Sockets Layer）或其继任者TLS（Transport Layer Security）来加密在网络上传输的数据，保障数据的机密性和完整性。以下是HTTPS的工作原理：

1. 握手阶段（Handshake）：

• 客户端Hello： 客户端发送一个ClientHello消息，其中包含支持的SSL/TLS版本、加密算法、压缩算法等信息。
  
• 服务端Hello： 服务端在收到ClientHello后，从中选择一个SSL/TLS版本和加密算法，并向客户端发送ServerHello消息，同时也发送自己的数字证书。
  
• 认证： 客户端收到服务端的数字证书后，会验证证书的合法性，包括是否过期、是否由可信任的证书颁发机构签发等。如果验证通过，客户端生成一个随机的对称密钥，称为Pre-Master Secret。
  
• 密钥交换： 客户端使用服务端的公钥加密Pre-Master Secret，并将其发送给服务端。服务端收到后使用自己的私钥解密，得到Pre-Master Secret。
  
• 生成会话密钥： 客户端和服务端使用两者各自的私钥和Pre-Master Secret通过特定算法生成会话密钥，用于后续数据的加解密。
  

2. 密钥交换阶段（Key Exchange）：

• 会话密钥： 客户端和服务端都拥有了相同的会话密钥，用于对称加密算法，确保通信的机密性。
  
• Finished消息： 客户端和服务端都发送一个Finished消息，其中包含之前握手阶段的所有消息的摘要，用于相互验证握手的完整性。
  

3. 数据传输阶段（Data Transfer）：

• 对称加密： 握手阶段完成后，客户端和服务端使用协商得到的会话密钥进行对称加密，确保数据在传输过程中的机密性。
  
• 数据完整性： 使用消息认证码（MAC）等机制确保数据在传输过程中的完整性，防止被篡改。
  
• HTTPS连接建立： 握手成功后，客户端和服务端之间建立了一个安全的HTTPS连接，后续的数据传输都在这个安全的连接上进行。
  

四、HTTP的状态码

HTTP状态码是由服务器返回的三位数字，用于表示对HTTP请求的处理结果。状态码分为五个类别，每个类别具有特定的意义。以下是常见的HTTP状态码：

1. 1xx（Informational）：请求正在进行中，服务器需要进一步的操作。

• 100 Continue： 表示服务器已经收到了请求的头部，并且客户端应该继续发送请求的其余部分。
  
• 101 Switching Protocols： 表示服务器已经理解客户端的请求，将通过Upgrade消息头通知客户端切换协议。
  

2. 2xx（Success）：请求已成功接收、理解并接受。

• 200 OK： 表示请求成功，正常返回。
  
• 201 Created： 表示请求已经被成功处理，并且服务器创建了新的资源。
  
• 204 No Content： 表示服务器成功处理了请求，但不需要返回任何实体内容。
  
• 206 Partial Content： 表示服务器已经成功处理了部分GET请求。
  

3. 3xx（Redirection）：需要进行附加操作以完成请求。

• 301 Moved Permanently： 表示请求的资源已被永久移动到新的位置。
  
• 302 Found： 表示请求的资源临时被移动到新的位置。
  
• 304 Not Modified： 表示客户端发送附带条件的请求，服务器已经验证了条件，资源未被修改。
  

4. 4xx（Client Error）：客户端错误，服务器无法处理请求。

• 400 Bad Request： 表示服务器无法理解客户端的请求，语法错误。
  
• 401 Unauthorized： 表示请求需要身份验证。
  
• 403 Forbidden： 表示服务器已经理解请求，但是拒绝执行它。
  
• 404 Not Found： 表示服务器找不到请求的资源。
  
• 405 Method Not Allowed： 表示请求中的方法被禁止。
  
• 408 Request Timeout： 表示客户端请求超时。
  

5. 5xx（Server Error）：服务器错误，服务器无法完成明显有效的请求。

• 500 Internal Server Error： 表示服务器遇到了一个未知的错误。
  
• 502 Bad Gateway： 表示服务器作为网关或代理，从上游服务器收到无效响应。
  
• 503 Service Unavailable： 表示服务器当前无法处理请求，通常是临时性的。
  
• 504 Gateway Timeout： 表示服务器作为网关或代理，未及时从上游服务器接收请求。