本文首发微信公众号：前端徐徐。

前言

这个问题其实也是老生常谈的问题了，这里通过概念、端口、连接方式、使用场景、安全性来简单的总结一下它们两者的区别，面试的时候肯定能用上。

概念

• HTTP(HyperText Transfer Protocol)：是超文本传输协议的缩写, 是互联网上应用最为广泛的一种网络协议。它详细规定了浏览器和万维网服务器之间互相通信的规则。HTTP 是无状态的、无连接的应用层协议。通信采用请求 / 响应模型, 客户端 (浏览器) 向服务器发送请求, 服务器根据请求返回响应内容。HTTP 协议是由 Tim Berners-Lee 于 1990 年提出的, 并在多年演化后成为互联网主流协议之一。
• HTTPS(Hypertext Transfer Protocol Secure)：是 HTTP 的安全版本。它在 HTTP 的基础上加入 SSL/TLS 层, 以安全的方式进行通信。HTTPS 使用了加密、认证、完整性保护等手段, 解决了 HTTP 不安全的缺点。HTTPS 协议出现在 1994 年, 最初由 Netscape 公司提出, 经历了多年发展, 现在已经成为网络传输安全的重要方式, 被广泛使用。

默认端口

• HTTP：协议默认使用 80 端口(TCP)。该端口专用于 HTTP 服务, 是一个著名端口。在 URL 中可以省略端口号, 直接使用 http:// 开头即默认为 80 端口。HTTP 使用 80 端口源于该端口未被占用。
• HTTPS：协议默认使用 443 端口(TCP)。该端口同样也是一个著名端口, 专用于 HTTPS 服务。在 URL 中可以省略端口号, 直接使用 https:// 开头即默认为 443 端口。HTTPS 使用 443 端口是因为 443 未被占用且为 80 的 443 倍, 可以表明其为安全版本。

连接方式

• HTTP：是无连接状态的协议，HTTP 直接建立在 TCP(传输控制协议)之上。HTTP 消息通过 TCP 连接直接以明文形式发送。每次请求都需要建立新的 TCP 连接, 请求结束后连接会关闭。客户端直接发送 HTTP 请求给服务器, 如果服务器可用, 就返回 HTTP 响应, 过程简单快速。
• HTTPS：需要先建立 SSL/TLS 安全连接, 再封装 HTTP 请求。客户端要验证服务器的数字证书和签名 CA, 确保服务器合法后, 通过“SSL 握手”协商加密算法, 建立安全连接。连接建立后才会发送 HTTPS 请求。请求结束也不会关闭连接, 能够复用连接。

使用场景

• HTTP

1. 访问一般性网站信息, 如浏览博客、新闻等。
2. 获取一般开放公共数据。
3. 非敏感或不包含用户隐私的数据传输。
4. 性能和效率要求较高的应用。
5. 开发测试环境。

• HTTPS

6. 电子商务, 金融, 支付相关网站, 如银行, 电商, 证券交易。
7. 传输敏感信息的应用, 如邮箱, 管理系统。
8. 身份认证环境, 如登录注册。
9. 涉及用户隐私的网站或应用。
10. 安全性要求较高的系统。

安全性

数据加密：

• HTTP： HTTP 协议传输的数据是明文的，容易被第三方窃听和截取，导致敏感信息泄露的风险
• HTTPS： HTTPS 协议通过使用 SSL/TLS 协议对通信数据进行加密，使得第三方无法直接获取传输的数据内容。这样可以防止敏感信息在传输过程中被拦截和窃取。

数据完整性：

• HTTP： 在 HTTP 中，传输的数据可能会在传输过程中被篡改，因为没有机制来保证数据的完整
• HTTPS： 通过使用加密和数字签名等技术，HTTPS 确保传输的数据在传输过程中不会被篡改，保证数据的完整性。

身份认证：

• HTTP： HTTP 协议没有内建的身份认证机制，服务器和客户端之间的通信容易受到中间人攻击
• HTTPS： 通过 SSL/TLS 协议，HTTPS 确保通信双方的身份认证，防止中间人攻击和伪装。

安全证书：

• HTTP： HTTP 没有使用任何证书来验证服务器身份，也无法确保通信的目标服务器是否可信。
• HTTPS： HTTPS 使用数字证书，由受信任的证书颁发机构（CA）颁发，用于验证服务器的身份。这样用户可以确认他们正在与合法的服务器通信。

性能

握手和加密开销：

• HTTP： HTTP 传输数据时不涉及加密过程，因此通常会比较快速。
• HTTPS： HTTPS 在传输数据之前需要进行 SSL/TLS 握手和加密操作，这会增加一些延迟，特别是在初始连接时。但现代的硬件和加密算法优化已经减少了这种差距。

缓存效果：

• HTTP： 在 HTTP 中，数据在传输过程中是明文的，这允许代理服务器和浏览器能够有效地缓存数据，从而提高性能。
• HTTPS： 在 HTTPS 中，由于数据被加密，代理服务器和浏览器无法像 HTTP 那样有效地进行缓存，这可能会稍微影响性能。

HTTP/2 和多路复用：

• HTTP： HTTP/1.1 存在“队头阻塞”问题，即同一时间只能处理一个请求，而其他请求需要等待。
• HTTPS： HTTPS 在 HTTP/2 协议中引入了多路复用（Multiplexing），允许同时处理多个请求，提高了并发性能和页面加载速度。

性能优化和 CDN：

• HTTP： HTTP 上的性能优化技术（如 CDN、缓存策略等）在一些场景下可以显著提升性能。
• HTTPS： HTTPS 也可以与性能优化技术结合，但由于加密和安全性的增加，可能会对某些性能优化策略产生一些影响

总结

综合分析上述几个方面，HTTP 和 HTTPS 在数据传输、安全性和性能等方面存在明显差异。HTTP 虽然简单快速，但安全性不足；HTTPS 通过加密技术提供了更高的安全性，但会引入一定的性能开销。根据具体的应用场景，选择适合的协议能够更好地平衡安全性和性能需求。在当今数字化时代，随着隐私和数据安全的重要性不断增加，HTTPS 逐渐成为保护用户和网站之间通信的标准。