Java面试知识点(六十一)HTTP 和 HTTPS

最新推荐文章于 2023-03-18 21:15:41 发布
最新推荐文章于 2023-03-18 21:15:41 发布
阅读量1.2k 收藏 2
点赞数 5
分类专栏: java 面试 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33945246/article/details/97407914
版权
面试 同时被 3 个专栏收录
154 篇文章 5 订阅
订阅专栏
java
150 篇文章 6 订阅
订阅专栏
计算机网络
15 篇文章 1 订阅
订阅专栏

梗概

  • HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(HTTP 协议运行在 TCP 之上),用于从 WWW 服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。
  • HTTPS:是以安全为目标的 HTTP 通道,简单讲是 HTTP 的安全版,即 HTTP 下加入 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。HTTPS 协议的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性

区别

  • Http 协议运行在 TCP 之上,明文传输,客户端与服务器端都无法验证对方的身份;HTTPS 是运行在 SSL/TLS 之上的 HTTP 协议,SSL/TLS 运行在 TCP 之上。HTTPS是添加了加密和认证机制的 HTTP。二者之间存在如下不同:
    • 端口不同:Http 与 Https 使用不同的连接方式,用的端口也不一样,前者是 80,后者是 443;
    • 资源消耗:和 HTTP 通信相比,Https 通信会由于加减密处理消耗更多的 CPU 和内存资源;
    • 开销:Https 通信需要证书,而证书一般需要向认证机构购买;
      Https 的加密机制是一种共享密钥加密和公开密钥加密并用的混合加密机制。

HTTPS 采用混合加密机制

由于公有密钥的机制相对复杂,导致其处理速度相对较慢。于是 HTTPS 利用了两者的优势,采用了混合加密的机制。我们知道,共享(对称)密钥未能解决的问题是如何能够安全地把密钥发送给对方。只要解决了这个问题就可以进行安全地通信。于是,HTTPS 首先是通过公有密钥来对共享密钥进行加密传输。当共享密钥安全地传输给对方后,双方则使用共享密钥的方式来加密报文,以此来提高传输的效率。

步骤 1:向服务器发起请求。
步骤 2-3:取出公有密钥及证书并发送给客户端。
步骤 4:客户端判断公有密钥是否有效,无效则显示警告。有效则生成一个随机数串,并以此生成客户端的共享密钥。
步骤 5:用步骤 3 得到的公有密钥对该随机数串加密,发送到服务器。
步骤 6:服务器得到加密报文,用私有密钥解密报文,得到随机数串,并以此生成服务器端的共享密钥。此时客户端和服务端拥有相同的共享密钥,可以用该共享密钥进行安全通信。
步骤 7-8:服务器对响应进行加密,客户端对报文进行解密。

HTTPS 的优点

尽管 HTTPS 并非绝对安全,掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击,但 HTTPS 仍是现行架构下最安全的解决方案,主要有以下几个好处:
(1)使用 HTTPS 协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;
(2)HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,要比 http 协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。
(3)HTTPS 是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。

HTTPS 的缺点

虽然说 HTTPS 有很大的优势,但其相对来说,还是存在不足之处的:
(1)HTTPS 协议握手阶段比较费时,会使页面的加载时间延长近 50%,增加 10% 到 20% 的耗电;
(2)HTTPS 连接缓存不如 HTTP 高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;
(3)SSL 证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。
(4)SSL 证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名,IPv4 资源不可能支撑这个消耗。
(5)HTTPS 协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL 证书的信用链体系并不安全,特别是在某些国家可以控制 CA 根证书的情况下,中间人攻击一样可行。

HTTP 是不保存状态的协议,如何保存用户状态?

HTTP 是一种不保存状态,即无状态(stateless)协议。也就是说 HTTP 协议自身不对请求和响应之间的通信状态进行保存。那么我们保存用户状态呢?Session 机制的存在就是为了解决这个问题,Session 的主要作用就是通过服务端记录用户的状态。典型的场景是购物车,当你要添加商品到购物车的时候,系统不知道是哪个用户操作的,因为 HTTP 协议是无状态的。服务端给特定的用户创建特定的 Session 之后就可以标识这个用户并且跟踪这个用户了(一般情况下,服务器会在一定时间内保存这个 Session,过了时间限制,就会销毁这个 Session)。

在服务端保存 Session 的方法很多,最常用的就是内存和数据库 (比如是使用内存数据库 redis 保存)。既然 Session 存放在服务器端,那么我们如何实现 Session 跟踪呢?大部分情况下,我们都是通过在 Cookie 中附加一个 Session ID 来方式来跟踪。

温柔的谢世杰
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Java面试知识点总结,2022最新
05-09
Java面试知识点总结,2022最新,35问答,助您斩获offer Java面试知识点总结,2022最新,35问答,助您斩获offer Java面试知识点总结,2022最新,35问答,助您斩获offer Java面试知识点总结,2022最新,35问答,助您斩...
HTTPS面试高频&必须掌握)
m0_72161237的博客
05-23 2349
HTTPS 也是一个应用层协议. 是在 HTTP 协议的基础上引入了一个加密层;HTTPS 的工作过程包含1.使用对称密钥2.引入非对称密钥3.黑客入侵4.引入证书 HTTP 是前后交互的桥梁;HTTP 服务器 本质上 就是一个 TCP 服务器(HTTP是基于 TCP),这个服务器是按照 HTTP 协议约定,解析请求,构造响应;业界由很多现场的 HTTP 服务器,直接可以使用;在 JAVA 圈子里,最知名的 HTTP 服务器,就是 Tomcat
java面试题(9):HTTPS原理
u013938578的博客
03-18 176
随着 HTTPS 建站的成本下降,现在大部分的网站都已经开始用上 HTTPS 协议。本文将层层深入,从原理上把 HTTPS 的安全性讲透。
Java面试之计算机网络——HTTPHTTPS的区别
sinat_39587248的博客
05-30 4027
原文地址:https://www.cnblogs.com/wqhwe/p/5407468.html超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。  为了解决HT...
java面试--httphttps的区别
望山。
09-15 1214
先来观察这两张图,第一张访问域名http://www.12306.cn,谷歌浏览器提示不安全链接,第二张是https://kyfw.12306.cn/otn/regist/init,浏览器显示安全,为什么会这样子呢?2017年1月发布的Chrome 56浏览器开始把收集密码或信用卡数据的HTTP页面标记为“不安全”,若用户使用2017年10月推出的Chrome 62,带有输入数据的HTTP页面和所有以无痕模式浏览的HTTP页面都会被标记为“不安全”,此外,苹果公司强制所有iOS App在2017年1月1日前
java https面试题_java面试HTTPHTTPS协议
weixin_39548438的博客
02-13 197
首先我们来看下阿里和顺丰面试题目。阿里面试题:对HTTP协议了解多少,HTTPHTTPS有什么区别,HTTPS的安全性是怎么实现的顺丰面试题:http解释一下(学习视频分享:java视频教程)详细解答如下:一、HTTP简介HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写。HTTP协议工作于客户端-服务端架构为上。浏览器作为HTTP客户端通过URL向H...
JAVA核心面试知识点整理
09-30
JAVA核心面试知识点整理
2018 java 面试知识点
01-26
最近的java 面试知识点, 比较全的java基础知识面试知识,linux
JAVA面试核心知识点整理(283页).pdf
05-26
JAVA面试核心知识点整理(283页).pdf
Java面试知识点整理总结
04-07
Java面试知识点整理总结,其中包含文字版本,思维导图版本和图片思维导图版本,内含Java基础、JVM、Java并发、mysql、redis、计算机网络、mq等资源
Java面试--HTTPHTTPS协议
m0_67391521的博客
07-29 257
HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。通过TCP套接字,客户端向Web服务器发送一个文本的请求报文,一个请求报文由请求行、请求头部、空行和请求数据4部分组成。另一种就是确认网站的真实性。(4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。3、httphttps使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。...
(Java面试基础)HTTPHTTPS的主要区别
心田祭思博客
10-09 414
(Java面试基础)HTTPHTTPS的主要区别
经典面试题:HTTP协议理解
A2268320026的专栏
04-13 9058
当输入www.google.com时,页面发生了哪些事情: 1.域名解析 域名解析检查顺序为:浏览器自身DNS缓存---》OS自身的DNS缓存--》读取host文件--》本地域名服务器--》权限域名服务器--》根域名服务器。如果有且没有过期,则结束本次域名解析。域名解析成功之后,进行后续操作 2.tcp3次握手建立连接 3.建立连接后,发起http请求 4.服务器端响应http
java面试查漏补缺——https面试
somewu的专栏
08-26 170
简单说: 1.传输内容是对称加密 2.这个对称加密的密钥由客户端随机生成,通过非对称加密传给服务端 3.非对称加密公钥由服务端通过证书发送给客户端。 4.证书校验:根证书里面的公钥对签名进行解密,比对签名 详细原理见 https://blog.csdn.net/ly131420/article/details/38400583 脑洞问题: 1。为什么传输内容不直接用非对称加密呢? ...
网易Java面试必问:四年Java面试遇到的问题整理,已整理成文档
m0_56712948的博客
04-27 583
思维导图 前言 在很多时候,我们都可以在各种框架应用中看到ZooKeeper的身影,比如Kafka中间件,Dubbo框架,Hadoop等等。为什么到处都看到ZooKeeper? 01 MySQL相关 1.1 面试问题 MySQL有哪些锁? 解释一下ACID都是什么 Innodb中索引的实现 B+树 AUTO_INCREMENT原理(考察并发情况) 数据库的索引有哪几种?为什么要用B+树来做索引?组合索引和几个单个的索引有什么区别?数据库的大表查询优化了解吗?MVCC机制了解不?MVCC机制有什么问题?怎
架构师都该懂的 CAP 定理
one的博客
07-19 842
面对可能出现的网络延迟,不可预估的请求流量等情况,设计一个分布式系统,我们通常围绕系统高可用,数据一致性的目标去规划和实现,想要完全实现这个目标,却并非易事。由此,分布式系统领域诞生了一个基本定理,即 CAP 定理,用于指导分布式系统的设计,从系统高可用,数据一致性,网络容错三个角度将分布式系统的特性抽成一个分区容错一致性模型。这样一来,让系统设计者只需根据业务场景特点,进行权衡设计适合业务场景的分区容错一致性模型即可,很大程度简化了分布式系统设计的难度。 也因此,CAP 定理是架构师所必须要掌握的内容,.
java面试知识点必会
最新发布
03-12
当然,我可以为您介绍一些Java面试中必备的知识点。以下是一些常见的Java面试题目及其答案: 1. 什么是JavaJava是一种面向对象的编程语言,具有跨平台性和可移植性。 2. Java的特点有哪些? - 简单易学:Java...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值