前沿拓展：

1.目錄網(wǎng)絡(luò)協(xié)議HTTPHTTPS

希望通過這篇文章能讓讀者了解什么是網(wǎng)絡(luò)協(xié)議，以及目前我們最常接觸的 http 和 https。

2.網(wǎng)絡(luò)協(xié)議

網(wǎng)絡(luò)協(xié)議是為計(jì)算機(jī)網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或約定。

眾所周知，網(wǎng)絡(luò)是一臺(tái)臺(tái)的計(jì)算機(jī)構(gòu)成的一張“大網(wǎng)”，彼此通訊，交互數(shù)據(jù)。我們也都知道不同的計(jì)算機(jī)廠家生產(chǎn)的計(jì)算機(jī)肯定是存在差異的，那么它們是如何克服這些差異進(jìn)行通信呢?顯然就是“語言”，我們的語言能彼此交流是因?yàn)槲覀儗?duì)這些定義產(chǎn)生了共識(shí)，比如蘋果指代的就是具體的一種水果等等。而計(jì)算機(jī)也是通過建立這種約定來完成通信的。不過要注意!這網(wǎng)絡(luò)協(xié)議不僅僅是給計(jì)算機(jī)互相間使用的，而是給網(wǎng)絡(luò)上所有設(shè)備(服務(wù)器、個(gè)人PC、交換機(jī)、路由器、防火墻等)使用的。大多數(shù)網(wǎng)絡(luò)都采用分層的體系結(jié)構(gòu)，每一層都建立在它的下層之上，向它的上一層提供一定的服務(wù)，而把如何實(shí)現(xiàn)這一服務(wù)的細(xì)節(jié)對(duì)上一層加以屏蔽(這就類似我們代碼中的接口)。一臺(tái)設(shè)備上的第 n層與另一臺(tái)設(shè)備上的第n層進(jìn)行通信的規(guī)則就是第n層協(xié)議。在網(wǎng)絡(luò)的各層中存在著許多協(xié)議，接收方和發(fā)送方同層的協(xié)議必須一致，否則一方將無法識(shí)別另一方發(fā)出的信息。網(wǎng)絡(luò)協(xié)議使網(wǎng)絡(luò)上各種設(shè)備能夠相互交換信息。上面提到了大多數(shù)網(wǎng)絡(luò)都采用分層，這里說下分層模型：

OSI 模型(Open System Interconnection Reference Model)，一種概念模型，由國際標(biāo)準(zhǔn)化組織提出，是一個(gè)試圖使各種計(jì)算機(jī)在世界范圍內(nèi)互連為網(wǎng)絡(luò)的標(biāo)準(zhǔn)框架。它具體分為七層：應(yīng)用層(第七層)為應(yīng)用軟件而設(shè)的接口，用于應(yīng)用間的通信表示層(第六層)將數(shù)據(jù)轉(zhuǎn)為接收系統(tǒng)可以使用的格式會(huì)話層(第五層)會(huì)話層是建立在傳輸層之上，利用傳輸層提供的接口，使應(yīng)用建立和維持會(huì)話，并能使會(huì)話獲得同步(簡單理解成數(shù)據(jù)傳輸?shù)囊粋€(gè)通道)傳輸層(第四層)將傳輸表頭(TH，傳輸表頭包含了所使用的協(xié)議等信息)加至數(shù)據(jù)(我們要傳輸?shù)臄?shù)據(jù))形成數(shù)據(jù)包網(wǎng)絡(luò)層(第三層)網(wǎng)絡(luò)層決定了數(shù)據(jù)的傳輸路徑和轉(zhuǎn)寄，它會(huì)將網(wǎng)絡(luò)表頭(NH，包含了網(wǎng)絡(luò)數(shù)據(jù)：IP 等)加入數(shù)據(jù)包中數(shù)據(jù)鏈路層(第二層)數(shù)據(jù)鏈路層(Data Link Layer)負(fù)責(zé)網(wǎng)絡(luò)尋址、錯(cuò)誤偵測(cè)和改錯(cuò)物理層(第一層)物理層確保原始數(shù)據(jù)可以在各種物理媒體上傳輸

TCP/IP 協(xié)議族分層方式與 OSI 分層的同異，如下圖：

下面會(huì)對(duì)一個(gè)簡單的場(chǎng)景進(jìn)行網(wǎng)絡(luò)請(qǐng)求畫圖。

場(chǎng)景：我給公司寫了一個(gè) hello world 的簡單的靜態(tài)頁面部署在公司的服務(wù)器上，我用自己的電腦在家里通過公網(wǎng)訪問這個(gè)靜態(tài)頁面，比如網(wǎng)址是“http://www.xxx.com”。

當(dāng)我訪問這個(gè)網(wǎng)址時(shí)，瀏覽器都做了些什么呢?我們看下圖：

TCP

TCP(Tran**ission Control Protocol，傳輸控制協(xié)議)是一種面向連接的，可靠的，基于字節(jié)流的，雙向傳輸?shù)膫鬏攲油ㄐ艆f(xié)議。它在建立連接時(shí)會(huì)經(jīng)過三次握手，三次握手完成后才會(huì)開始傳輸數(shù)據(jù);在終止連接時(shí)，它需要四次揮手。具體如下：

(1)建立連接

圖源：百度百科

三次握手：

客戶端發(fā)送 SYN 報(bào)文給服務(wù)端，進(jìn)入 SYN_SEND 狀態(tài)服務(wù)器回復(fù) SYN，進(jìn)入 SYN_RECV 狀態(tài)客戶端收到來自服務(wù)端的 SYN 報(bào)文后，回復(fù) ACK

客戶端和服務(wù)端進(jìn)入 Established 狀態(tài)，可以開始收發(fā)數(shù)據(jù)了。

(2)終止連接

圖源：百度百科

四次揮手(注意：close 動(dòng)作可以由任意一端先發(fā)起，這里以 client 發(fā)起為例)：客戶端先調(diào)用 close，執(zhí)行 active close，并發(fā)送 FIN 表示數(shù)據(jù)發(fā)送完畢，進(jìn)入 FIN_WAIT_1 狀態(tài)服務(wù)端接收到 FIN 后，執(zhí)行 passive close，并給客戶端發(fā)送 ACK，進(jìn)入 CLOSE_WAIT 狀態(tài)服務(wù)端給客戶端發(fā)送一個(gè) FIN，進(jìn)入 LAST_ACK 狀態(tài)

主動(dòng)發(fā)起 close 的一方負(fù)責(zé)最終確認(rèn) FIN，這個(gè)例子就是客戶端需要接收 FIN 并回復(fù) ACK 給服務(wù)端，進(jìn)入 TIME_WAIT 狀態(tài)，服務(wù)端收到 ACK 后進(jìn)入 CLOSED 狀態(tài)

為什么終止的時(shí)候是四次揮手呢?

因?yàn)橐环街鲃?dòng)發(fā)起 close 并發(fā)送 FIN 僅僅代表它不再發(fā)送數(shù)據(jù)，可是還能接收數(shù)據(jù)，所以需要另一方也進(jìn)行 close 并發(fā)送 FIN 通知對(duì)方。至于為什么要將 ACK 和 FIN 分開呢?是因?yàn)?ACK 是告訴對(duì)方“我知道了”，而 FIN 是告訴對(duì)方“我也沒有數(shù)據(jù)給你了”。而實(shí)際情況不一定是我收到 FIN 就剛好也把數(shù)據(jù)都給完對(duì)方了，所以是需要分開的。

HTTP

HTTP(HyperText Transfer Protocol)，超文本傳輸協(xié)議，它是基于 TCP 協(xié)議實(shí)現(xiàn)的。

HTTP 是一種無狀態(tài)協(xié)議，像我們作為游客訪問一個(gè)頁面時(shí)，無狀態(tài)協(xié)議是簡單且高效的。不過像電商場(chǎng)景是需要記錄用戶登錄狀態(tài)或記錄購物車商品信息的(除了電商像一些中臺(tái)系統(tǒng)也是需要記錄用戶狀態(tài)的，這里僅是舉例)，這時(shí)就需要一些額外的技術(shù)協(xié)助了，如：Cookie。

HTTP 報(bào)文格式

HTTP 協(xié)議的請(qǐng)求報(bào)文和響應(yīng)報(bào)文的結(jié)構(gòu)基本相同。

報(bào)文由三大部分組成：

起始行描述請(qǐng)求或響應(yīng)的基本信息，如：GET /** HTTP/1.1、HTTP/1.1 200 OK 等頭部字段**使用 key-value 說明報(bào)文(想想請(qǐng)求頭和響應(yīng)頭)消息正文HTTPS

HTTP 是基于 TCP 實(shí)現(xiàn)的，它的報(bào)文是明文，整個(gè)傳輸過程完全是透明的，任何環(huán)節(jié)都可以輕松獲截、修改，這是很不安全的。因此，安全的 HTTP 協(xié)議應(yīng)運(yùn)而生—— HTTPS。HTTPS其實(shí)就是在HTTP之上增加了SSL。

(1) SSL/TLS

SSL 即安**接層(Secure Sockets Layer)，1999年改名為 TLS(傳輸層安全， Transport Layer Security)

有幾個(gè)概念要先說清楚：

對(duì)稱加密通過同一把“鑰匙”進(jìn)行加密和解密非對(duì)稱加密有兩把“鑰匙”——公鑰，私鑰，使用公鑰加密的，需要使用私鑰解密;使用私鑰加密的，需要公鑰解密摘要算法將一個(gè)隨機(jī)長度的內(nèi)容生成一個(gè)定長的內(nèi)容，常見算法有：MD5、sha1、sha2等等安全性沒有絕對(duì)的安全，我們所說的數(shù)據(jù)安全都是基于一個(gè)信任點(diǎn)，認(rèn)為它是安全的，我們所說的安全才能成立，否則不存在安全一說。如：非對(duì)稱加密和對(duì)稱加密，我們相信這些算法的安全性，因此認(rèn)為只要密鑰不泄露，那么就是安全的(2)HTTPS 工作流程大致如下：

先完成三次握手，這里和 HTTP 是一致的

瀏覽器給服務(wù)器發(fā)送加密套件列表(就是告訴服務(wù)器自己支持的加密算法)服務(wù)器根據(jù)加密套件列表挑選加密算法，并給瀏覽器發(fā)送公鑰瀏覽器獲取公鑰后，隨機(jī)生成對(duì)稱加密算法使用的密鑰，通過公鑰加密該密鑰，第二發(fā)送密文給服務(wù)器服務(wù)器使用私鑰解密，對(duì)于該會(huì)話的內(nèi)容信息都使用該密鑰加密傳輸給瀏覽器(3)優(yōu)點(diǎn)通過非對(duì)稱加密保證瀏覽器傳輸?shù)拿荑€不會(huì)被破解(因?yàn)樗借€在自己手上，沒有經(jīng)歷過網(wǎng)絡(luò)傳輸)使用對(duì)稱加密算法加解密內(nèi)容效率高(4)缺點(diǎn)服務(wù)器給瀏覽器傳輸公鑰時(shí)沒法保證該瀏覽器不會(huì)泄露公鑰

基于這個(gè)缺點(diǎn)，我們需要依賴第三方機(jī)構(gòu)協(xié)助，讓我們的 HTTPS 更安全可靠。

具體如下：

對(duì)于第三步的傳輸公鑰改成傳輸公鑰數(shù)字證書數(shù)字證書組成：

公鑰用戶信息

公鑰

簽名

通過 hash(公鑰，公司信息，域名等申請(qǐng)信息) 獲取數(shù)據(jù)摘要;CA 再對(duì)摘要信息進(jìn)行加密，這個(gè)密文就是簽名

CA 信息

有效期

證書序列號(hào)

數(shù)字證書由第三方機(jī)構(gòu)(CA 機(jī)構(gòu))頒發(fā)公司信息、系統(tǒng)的域名和公鑰需要到 CA 機(jī)構(gòu)進(jìn)行認(rèn)證，認(rèn)證通過后 CA 再給我們頒發(fā)證書，證書內(nèi)容如上不累述。因?yàn)檫@證書有簽名，所以證書內(nèi)容不可被篡改，從而證書里面的公鑰用戶信息和公鑰的安全性就得到了保證。CA 機(jī)構(gòu)頒發(fā)的證書的可靠性依賴于根證書，而根證書是**作系統(tǒng)或?yàn)g覽器內(nèi)置的(換句話說，我們就是要相信**作系統(tǒng)或者瀏覽器的安全性)

綜上所述，我們 HTTPS 的安全性是基于對(duì)根證書的信任和加密算法的信任，從而認(rèn)為自己是安全的。

上面也提到了，基于某個(gè)信任點(diǎn)，我們的安全才能聊下去，所以是沒有絕對(duì)的安全的。如果黑客劫持了瀏覽器，讓你所有請(qǐng)求先到他，他再到服務(wù)器，那么你請(qǐng)求的所有數(shù)據(jù)都會(huì)先到黑客手上，那么就不安全了。舉例：我們的梯子很多就是**，瀏覽器發(fā)出的請(qǐng)求被它**，第二走到可以**的服務(wù)器上再去請(qǐng)求資源，得到的數(shù)據(jù)自然也是原路返還，那么這個(gè)中轉(zhuǎn)服務(wù)器就可以做很多**作了。

相信到這里，大家已經(jīng)知道我們常說的網(wǎng)絡(luò)分層架構(gòu)一般是定義成5層或者7層，而我們所說的網(wǎng)絡(luò)協(xié)議是針對(duì)里面某一層的通信協(xié)議。這里以我們最常接觸的 http 和 https 為例做了說明，并且講了它們的區(qū)別，還延申了下網(wǎng)絡(luò)安全方面的內(nèi)容。

作者介紹

蔡柱梁，51CTO社區(qū)編輯，從事Java后端開發(fā)8年，做過傳統(tǒng)項(xiàng)目廣電BOSS系統(tǒng)，后投身互聯(lián)網(wǎng)電商，負(fù)責(zé)過訂單，TMS，中間件等。

拓展知識(shí)：

前沿拓展：

1.目錄網(wǎng)絡(luò)協(xié)議HTTPHTTPS

希望通過這篇文章能讓讀者了解什么是網(wǎng)絡(luò)協(xié)議，以及目前我們最常接觸的 http 和 https。

2.網(wǎng)絡(luò)協(xié)議

網(wǎng)絡(luò)協(xié)議是為計(jì)算機(jī)網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或約定。

眾所周知，網(wǎng)絡(luò)是一臺(tái)臺(tái)的計(jì)算機(jī)構(gòu)成的一張“大網(wǎng)”，彼此通訊，交互數(shù)據(jù)。我們也都知道不同的計(jì)算機(jī)廠家生產(chǎn)的計(jì)算機(jī)肯定是存在差異的，那么它們是如何克服這些差異進(jìn)行通信呢?顯然就是“語言”，我們的語言能彼此交流是因?yàn)槲覀儗?duì)這些定義產(chǎn)生了共識(shí)，比如蘋果指代的就是具體的一種水果等等。而計(jì)算機(jī)也是通過建立這種約定來完成通信的。不過要注意!這網(wǎng)絡(luò)協(xié)議不僅僅是給計(jì)算機(jī)互相間使用的，而是給網(wǎng)絡(luò)上所有設(shè)備(服務(wù)器、個(gè)人PC、交換機(jī)、路由器、防火墻等)使用的。大多數(shù)網(wǎng)絡(luò)都采用分層的體系結(jié)構(gòu)，每一層都建立在它的下層之上，向它的上一層提供一定的服務(wù)，而把如何實(shí)現(xiàn)這一服務(wù)的細(xì)節(jié)對(duì)上一層加以屏蔽(這就類似我們代碼中的接口)。一臺(tái)設(shè)備上的第 n層與另一臺(tái)設(shè)備上的第n層進(jìn)行通信的規(guī)則就是第n層協(xié)議。在網(wǎng)絡(luò)的各層中存在著許多協(xié)議，接收方和發(fā)送方同層的協(xié)議必須一致，否則一方將無法識(shí)別另一方發(fā)出的信息。網(wǎng)絡(luò)協(xié)議使網(wǎng)絡(luò)上各種設(shè)備能夠相互交換信息。上面提到了大多數(shù)網(wǎng)絡(luò)都采用分層，這里說下分層模型：

OSI 模型(Open System Interconnection Reference Model)，一種概念模型，由國際標(biāo)準(zhǔn)化組織提出，是一個(gè)試圖使各種計(jì)算機(jī)在世界范圍內(nèi)互連為網(wǎng)絡(luò)的標(biāo)準(zhǔn)框架。它具體分為七層：應(yīng)用層(第七層)為應(yīng)用軟件而設(shè)的接口，用于應(yīng)用間的通信表示層(第六層)將數(shù)據(jù)轉(zhuǎn)為接收系統(tǒng)可以使用的格式會(huì)話層(第五層)會(huì)話層是建立在傳輸層之上，利用傳輸層提供的接口，使應(yīng)用建立和維持會(huì)話，并能使會(huì)話獲得同步(簡單理解成數(shù)據(jù)傳輸?shù)囊粋€(gè)通道)傳輸層(第四層)將傳輸表頭(TH，傳輸表頭包含了所使用的協(xié)議等信息)加至數(shù)據(jù)(我們要傳輸?shù)臄?shù)據(jù))形成數(shù)據(jù)包網(wǎng)絡(luò)層(第三層)網(wǎng)絡(luò)層決定了數(shù)據(jù)的傳輸路徑和轉(zhuǎn)寄，它會(huì)將網(wǎng)絡(luò)表頭(NH，包含了網(wǎng)絡(luò)數(shù)據(jù)：IP 等)加入數(shù)據(jù)包中數(shù)據(jù)鏈路層(第二層)數(shù)據(jù)鏈路層(Data Link Layer)負(fù)責(zé)網(wǎng)絡(luò)尋址、錯(cuò)誤偵測(cè)和改錯(cuò)物理層(第一層)物理層確保原始數(shù)據(jù)可以在各種物理媒體上傳輸

TCP/IP 協(xié)議族分層方式與 OSI 分層的同異，如下圖：

下面會(huì)對(duì)一個(gè)簡單的場(chǎng)景進(jìn)行網(wǎng)絡(luò)請(qǐng)求畫圖。

場(chǎng)景：我給公司寫了一個(gè) hello world 的簡單的靜態(tài)頁面部署在公司的服務(wù)器上，我用自己的電腦在家里通過公網(wǎng)訪問這個(gè)靜態(tài)頁面，比如網(wǎng)址是“http://www.xxx.com”。

當(dāng)我訪問這個(gè)網(wǎng)址時(shí)，瀏覽器都做了些什么呢?我們看下圖：

TCP

TCP(Tran**ission Control Protocol，傳輸控制協(xié)議)是一種面向連接的，可靠的，基于字節(jié)流的，雙向傳輸?shù)膫鬏攲油ㄐ艆f(xié)議。它在建立連接時(shí)會(huì)經(jīng)過三次握手，三次握手完成后才會(huì)開始傳輸數(shù)據(jù);在終止連接時(shí)，它需要四次揮手。具體如下：

(1)建立連接

圖源：百度百科

三次握手：

客戶端發(fā)送 SYN 報(bào)文給服務(wù)端，進(jìn)入 SYN_SEND 狀態(tài)服務(wù)器回復(fù) SYN，進(jìn)入 SYN_RECV 狀態(tài)客戶端收到來自服務(wù)端的 SYN 報(bào)文后，回復(fù) ACK

客戶端和服務(wù)端進(jìn)入 Established 狀態(tài)，可以開始收發(fā)數(shù)據(jù)了。

(2)終止連接

圖源：百度百科

四次揮手(注意：close 動(dòng)作可以由任意一端先發(fā)起，這里以 client 發(fā)起為例)：客戶端先調(diào)用 close，執(zhí)行 active close，并發(fā)送 FIN 表示數(shù)據(jù)發(fā)送完畢，進(jìn)入 FIN_WAIT_1 狀態(tài)服務(wù)端接收到 FIN 后，執(zhí)行 passive close，并給客戶端發(fā)送 ACK，進(jìn)入 CLOSE_WAIT 狀態(tài)服務(wù)端給客戶端發(fā)送一個(gè) FIN，進(jìn)入 LAST_ACK 狀態(tài)

主動(dòng)發(fā)起 close 的一方負(fù)責(zé)最終確認(rèn) FIN，這個(gè)例子就是客戶端需要接收 FIN 并回復(fù) ACK 給服務(wù)端，進(jìn)入 TIME_WAIT 狀態(tài)，服務(wù)端收到 ACK 后進(jìn)入 CLOSED 狀態(tài)

為什么終止的時(shí)候是四次揮手呢?

因?yàn)橐环街鲃?dòng)發(fā)起 close 并發(fā)送 FIN 僅僅代表它不再發(fā)送數(shù)據(jù)，可是還能接收數(shù)據(jù)，所以需要另一方也進(jìn)行 close 并發(fā)送 FIN 通知對(duì)方。至于為什么要將 ACK 和 FIN 分開呢?是因?yàn)?ACK 是告訴對(duì)方“我知道了”，而 FIN 是告訴對(duì)方“我也沒有數(shù)據(jù)給你了”。而實(shí)際情況不一定是我收到 FIN 就剛好也把數(shù)據(jù)都給完對(duì)方了，所以是需要分開的。

HTTP

HTTP(HyperText Transfer Protocol)，超文本傳輸協(xié)議，它是基于 TCP 協(xié)議實(shí)現(xiàn)的。

HTTP 是一種無狀態(tài)協(xié)議，像我們作為游客訪問一個(gè)頁面時(shí)，無狀態(tài)協(xié)議是簡單且高效的。不過像電商場(chǎng)景是需要記錄用戶登錄狀態(tài)或記錄購物車商品信息的(除了電商像一些中臺(tái)系統(tǒng)也是需要記錄用戶狀態(tài)的，這里僅是舉例)，這時(shí)就需要一些額外的技術(shù)協(xié)助了，如：Cookie。

HTTP 報(bào)文格式

HTTP 協(xié)議的請(qǐng)求報(bào)文和響應(yīng)報(bào)文的結(jié)構(gòu)基本相同。

報(bào)文由三大部分組成：

起始行描述請(qǐng)求或響應(yīng)的基本信息，如：GET /** HTTP/1.1、HTTP/1.1 200 OK 等頭部字段**使用 key-value 說明報(bào)文(想想請(qǐng)求頭和響應(yīng)頭)消息正文HTTPS

HTTP 是基于 TCP 實(shí)現(xiàn)的，它的報(bào)文是明文，整個(gè)傳輸過程完全是透明的，任何環(huán)節(jié)都可以輕松獲截、修改，這是很不安全的。因此，安全的 HTTP 協(xié)議應(yīng)運(yùn)而生—— HTTPS。HTTPS其實(shí)就是在HTTP之上增加了SSL。

(1) SSL/TLS

SSL 即安**接層(Secure Sockets Layer)，1999年改名為 TLS(傳輸層安全， Transport Layer Security)

有幾個(gè)概念要先說清楚：

對(duì)稱加密通過同一把“鑰匙”進(jìn)行加密和解密非對(duì)稱加密有兩把“鑰匙”——公鑰，私鑰，使用公鑰加密的，需要使用私鑰解密;使用私鑰加密的，需要公鑰解密摘要算法將一個(gè)隨機(jī)長度的內(nèi)容生成一個(gè)定長的內(nèi)容，常見算法有：MD5、sha1、sha2等等安全性沒有絕對(duì)的安全，我們所說的數(shù)據(jù)安全都是基于一個(gè)信任點(diǎn)，認(rèn)為它是安全的，我們所說的安全才能成立，否則不存在安全一說。如：非對(duì)稱加密和對(duì)稱加密，我們相信這些算法的安全性，因此認(rèn)為只要密鑰不泄露，那么就是安全的(2)HTTPS 工作流程大致如下：

先完成三次握手，這里和 HTTP 是一致的

瀏覽器給服務(wù)器發(fā)送加密套件列表(就是告訴服務(wù)器自己支持的加密算法)服務(wù)器根據(jù)加密套件列表挑選加密算法，并給瀏覽器發(fā)送公鑰瀏覽器獲取公鑰后，隨機(jī)生成對(duì)稱加密算法使用的密鑰，通過公鑰加密該密鑰，第二發(fā)送密文給服務(wù)器服務(wù)器使用私鑰解密，對(duì)于該會(huì)話的內(nèi)容信息都使用該密鑰加密傳輸給瀏覽器(3)優(yōu)點(diǎn)通過非對(duì)稱加密保證瀏覽器傳輸?shù)拿荑€不會(huì)被破解(因?yàn)樗借€在自己手上，沒有經(jīng)歷過網(wǎng)絡(luò)傳輸)使用對(duì)稱加密算法加解密內(nèi)容效率高(4)缺點(diǎn)服務(wù)器給瀏覽器傳輸公鑰時(shí)沒法保證該瀏覽器不會(huì)泄露公鑰

基于這個(gè)缺點(diǎn)，我們需要依賴第三方機(jī)構(gòu)協(xié)助，讓我們的 HTTPS 更安全可靠。

具體如下：

對(duì)于第三步的傳輸公鑰改成傳輸公鑰數(shù)字證書數(shù)字證書組成：

公鑰用戶信息

公鑰

簽名

通過 hash(公鑰，公司信息，域名等申請(qǐng)信息) 獲取數(shù)據(jù)摘要;CA 再對(duì)摘要信息進(jìn)行加密，這個(gè)密文就是簽名

CA 信息

有效期

證書序列號(hào)

數(shù)字證書由第三方機(jī)構(gòu)(CA 機(jī)構(gòu))頒發(fā)公司信息、系統(tǒng)的域名和公鑰需要到 CA 機(jī)構(gòu)進(jìn)行認(rèn)證，認(rèn)證通過后 CA 再給我們頒發(fā)證書，證書內(nèi)容如上不累述。因?yàn)檫@證書有簽名，所以證書內(nèi)容不可被篡改，從而證書里面的公鑰用戶信息和公鑰的安全性就得到了保證。CA 機(jī)構(gòu)頒發(fā)的證書的可靠性依賴于根證書，而根證書是**作系統(tǒng)或?yàn)g覽器內(nèi)置的(換句話說，我們就是要相信**作系統(tǒng)或者瀏覽器的安全性)

綜上所述，我們 HTTPS 的安全性是基于對(duì)根證書的信任和加密算法的信任，從而認(rèn)為自己是安全的。

上面也提到了，基于某個(gè)信任點(diǎn)，我們的安全才能聊下去，所以是沒有絕對(duì)的安全的。如果黑客劫持了瀏覽器，讓你所有請(qǐng)求先到他，他再到服務(wù)器，那么你請(qǐng)求的所有數(shù)據(jù)都會(huì)先到黑客手上，那么就不安全了。舉例：我們的梯子很多就是**，瀏覽器發(fā)出的請(qǐng)求被它**，第二走到可以**的服務(wù)器上再去請(qǐng)求資源，得到的數(shù)據(jù)自然也是原路返還，那么這個(gè)中轉(zhuǎn)服務(wù)器就可以做很多**作了。

相信到這里，大家已經(jīng)知道我們常說的網(wǎng)絡(luò)分層架構(gòu)一般是定義成5層或者7層，而我們所說的網(wǎng)絡(luò)協(xié)議是針對(duì)里面某一層的通信協(xié)議。這里以我們最常接觸的 http 和 https 為例做了說明，并且講了它們的區(qū)別，還延申了下網(wǎng)絡(luò)安全方面的內(nèi)容。

作者介紹

蔡柱梁，51CTO社區(qū)編輯，從事Java后端開發(fā)8年，做過傳統(tǒng)項(xiàng)目廣電BOSS系統(tǒng)，后投身互聯(lián)網(wǎng)電商，負(fù)責(zé)過訂單，TMS，中間件等。

拓展知識(shí)：

前沿拓展：

1.目錄網(wǎng)絡(luò)協(xié)議HTTPHTTPS

希望通過這篇文章能讓讀者了解什么是網(wǎng)絡(luò)協(xié)議，以及目前我們最常接觸的 http 和 https。

2.網(wǎng)絡(luò)協(xié)議

網(wǎng)絡(luò)協(xié)議是為計(jì)算機(jī)網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或約定。

眾所周知，網(wǎng)絡(luò)是一臺(tái)臺(tái)的計(jì)算機(jī)構(gòu)成的一張“大網(wǎng)”，彼此通訊，交互數(shù)據(jù)。我們也都知道不同的計(jì)算機(jī)廠家生產(chǎn)的計(jì)算機(jī)肯定是存在差異的，那么它們是如何克服這些差異進(jìn)行通信呢?顯然就是“語言”，我們的語言能彼此交流是因?yàn)槲覀儗?duì)這些定義產(chǎn)生了共識(shí)，比如蘋果指代的就是具體的一種水果等等。而計(jì)算機(jī)也是通過建立這種約定來完成通信的。不過要注意!這網(wǎng)絡(luò)協(xié)議不僅僅是給計(jì)算機(jī)互相間使用的，而是給網(wǎng)絡(luò)上所有設(shè)備(服務(wù)器、個(gè)人PC、交換機(jī)、路由器、防火墻等)使用的。大多數(shù)網(wǎng)絡(luò)都采用分層的體系結(jié)構(gòu)，每一層都建立在它的下層之上，向它的上一層提供一定的服務(wù)，而把如何實(shí)現(xiàn)這一服務(wù)的細(xì)節(jié)對(duì)上一層加以屏蔽(這就類似我們代碼中的接口)。一臺(tái)設(shè)備上的第 n層與另一臺(tái)設(shè)備上的第n層進(jìn)行通信的規(guī)則就是第n層協(xié)議。在網(wǎng)絡(luò)的各層中存在著許多協(xié)議，接收方和發(fā)送方同層的協(xié)議必須一致，否則一方將無法識(shí)別另一方發(fā)出的信息。網(wǎng)絡(luò)協(xié)議使網(wǎng)絡(luò)上各種設(shè)備能夠相互交換信息。上面提到了大多數(shù)網(wǎng)絡(luò)都采用分層，這里說下分層模型：

OSI 模型(Open System Interconnection Reference Model)，一種概念模型，由國際標(biāo)準(zhǔn)化組織提出，是一個(gè)試圖使各種計(jì)算機(jī)在世界范圍內(nèi)互連為網(wǎng)絡(luò)的標(biāo)準(zhǔn)框架。它具體分為七層：應(yīng)用層(第七層)為應(yīng)用軟件而設(shè)的接口，用于應(yīng)用間的通信表示層(第六層)將數(shù)據(jù)轉(zhuǎn)為接收系統(tǒng)可以使用的格式會(huì)話層(第五層)會(huì)話層是建立在傳輸層之上，利用傳輸層提供的接口，使應(yīng)用建立和維持會(huì)話，并能使會(huì)話獲得同步(簡單理解成數(shù)據(jù)傳輸?shù)囊粋€(gè)通道)傳輸層(第四層)將傳輸表頭(TH，傳輸表頭包含了所使用的協(xié)議等信息)加至數(shù)據(jù)(我們要傳輸?shù)臄?shù)據(jù))形成數(shù)據(jù)包網(wǎng)絡(luò)層(第三層)網(wǎng)絡(luò)層決定了數(shù)據(jù)的傳輸路徑和轉(zhuǎn)寄，它會(huì)將網(wǎng)絡(luò)表頭(NH，包含了網(wǎng)絡(luò)數(shù)據(jù)：IP 等)加入數(shù)據(jù)包中數(shù)據(jù)鏈路層(第二層)數(shù)據(jù)鏈路層(Data Link Layer)負(fù)責(zé)網(wǎng)絡(luò)尋址、錯(cuò)誤偵測(cè)和改錯(cuò)物理層(第一層)物理層確保原始數(shù)據(jù)可以在各種物理媒體上傳輸

TCP/IP 協(xié)議族分層方式與 OSI 分層的同異，如下圖：

下面會(huì)對(duì)一個(gè)簡單的場(chǎng)景進(jìn)行網(wǎng)絡(luò)請(qǐng)求畫圖。

場(chǎng)景：我給公司寫了一個(gè) hello world 的簡單的靜態(tài)頁面部署在公司的服務(wù)器上，我用自己的電腦在家里通過公網(wǎng)訪問這個(gè)靜態(tài)頁面，比如網(wǎng)址是“http://www.xxx.com”。

當(dāng)我訪問這個(gè)網(wǎng)址時(shí)，瀏覽器都做了些什么呢?我們看下圖：

TCP

TCP(Tran**ission Control Protocol，傳輸控制協(xié)議)是一種面向連接的，可靠的，基于字節(jié)流的，雙向傳輸?shù)膫鬏攲油ㄐ艆f(xié)議。它在建立連接時(shí)會(huì)經(jīng)過三次握手，三次握手完成后才會(huì)開始傳輸數(shù)據(jù);在終止連接時(shí)，它需要四次揮手。具體如下：

(1)建立連接

圖源：百度百科

三次握手：

客戶端發(fā)送 SYN 報(bào)文給服務(wù)端，進(jìn)入 SYN_SEND 狀態(tài)服務(wù)器回復(fù) SYN，進(jìn)入 SYN_RECV 狀態(tài)客戶端收到來自服務(wù)端的 SYN 報(bào)文后，回復(fù) ACK

客戶端和服務(wù)端進(jìn)入 Established 狀態(tài)，可以開始收發(fā)數(shù)據(jù)了。

(2)終止連接

圖源：百度百科

四次揮手(注意：close 動(dòng)作可以由任意一端先發(fā)起，這里以 client 發(fā)起為例)：客戶端先調(diào)用 close，執(zhí)行 active close，并發(fā)送 FIN 表示數(shù)據(jù)發(fā)送完畢，進(jìn)入 FIN_WAIT_1 狀態(tài)服務(wù)端接收到 FIN 后，執(zhí)行 passive close，并給客戶端發(fā)送 ACK，進(jìn)入 CLOSE_WAIT 狀態(tài)服務(wù)端給客戶端發(fā)送一個(gè) FIN，進(jìn)入 LAST_ACK 狀態(tài)

主動(dòng)發(fā)起 close 的一方負(fù)責(zé)最終確認(rèn) FIN，這個(gè)例子就是客戶端需要接收 FIN 并回復(fù) ACK 給服務(wù)端，進(jìn)入 TIME_WAIT 狀態(tài)，服務(wù)端收到 ACK 后進(jìn)入 CLOSED 狀態(tài)

為什么終止的時(shí)候是四次揮手呢?

因?yàn)橐环街鲃?dòng)發(fā)起 close 并發(fā)送 FIN 僅僅代表它不再發(fā)送數(shù)據(jù)，可是還能接收數(shù)據(jù)，所以需要另一方也進(jìn)行 close 并發(fā)送 FIN 通知對(duì)方。至于為什么要將 ACK 和 FIN 分開呢?是因?yàn)?ACK 是告訴對(duì)方“我知道了”，而 FIN 是告訴對(duì)方“我也沒有數(shù)據(jù)給你了”。而實(shí)際情況不一定是我收到 FIN 就剛好也把數(shù)據(jù)都給完對(duì)方了，所以是需要分開的。

HTTP

HTTP(HyperText Transfer Protocol)，超文本傳輸協(xié)議，它是基于 TCP 協(xié)議實(shí)現(xiàn)的。

HTTP 是一種無狀態(tài)協(xié)議，像我們作為游客訪問一個(gè)頁面時(shí)，無狀態(tài)協(xié)議是簡單且高效的。不過像電商場(chǎng)景是需要記錄用戶登錄狀態(tài)或記錄購物車商品信息的(除了電商像一些中臺(tái)系統(tǒng)也是需要記錄用戶狀態(tài)的，這里僅是舉例)，這時(shí)就需要一些額外的技術(shù)協(xié)助了，如：Cookie。

HTTP 報(bào)文格式

HTTP 協(xié)議的請(qǐng)求報(bào)文和響應(yīng)報(bào)文的結(jié)構(gòu)基本相同。

報(bào)文由三大部分組成：

起始行描述請(qǐng)求或響應(yīng)的基本信息，如：GET /** HTTP/1.1、HTTP/1.1 200 OK 等頭部字段**使用 key-value 說明報(bào)文(想想請(qǐng)求頭和響應(yīng)頭)消息正文HTTPS

HTTP 是基于 TCP 實(shí)現(xiàn)的，它的報(bào)文是明文，整個(gè)傳輸過程完全是透明的，任何環(huán)節(jié)都可以輕松獲截、修改，這是很不安全的。因此，安全的 HTTP 協(xié)議應(yīng)運(yùn)而生—— HTTPS。HTTPS其實(shí)就是在HTTP之上增加了SSL。

(1) SSL/TLS

SSL 即安**接層(Secure Sockets Layer)，1999年改名為 TLS(傳輸層安全， Transport Layer Security)

有幾個(gè)概念要先說清楚：

對(duì)稱加密通過同一把“鑰匙”進(jìn)行加密和解密非對(duì)稱加密有兩把“鑰匙”——公鑰，私鑰，使用公鑰加密的，需要使用私鑰解密;使用私鑰加密的，需要公鑰解密摘要算法將一個(gè)隨機(jī)長度的內(nèi)容生成一個(gè)定長的內(nèi)容，常見算法有：MD5、sha1、sha2等等安全性沒有絕對(duì)的安全，我們所說的數(shù)據(jù)安全都是基于一個(gè)信任點(diǎn)，認(rèn)為它是安全的，我們所說的安全才能成立，否則不存在安全一說。如：非對(duì)稱加密和對(duì)稱加密，我們相信這些算法的安全性，因此認(rèn)為只要密鑰不泄露，那么就是安全的(2)HTTPS 工作流程大致如下：

先完成三次握手，這里和 HTTP 是一致的

瀏覽器給服務(wù)器發(fā)送加密套件列表(就是告訴服務(wù)器自己支持的加密算法)服務(wù)器根據(jù)加密套件列表挑選加密算法，并給瀏覽器發(fā)送公鑰瀏覽器獲取公鑰后，隨機(jī)生成對(duì)稱加密算法使用的密鑰，通過公鑰加密該密鑰，第二發(fā)送密文給服務(wù)器服務(wù)器使用私鑰解密，對(duì)于該會(huì)話的內(nèi)容信息都使用該密鑰加密傳輸給瀏覽器(3)優(yōu)點(diǎn)通過非對(duì)稱加密保證瀏覽器傳輸?shù)拿荑€不會(huì)被破解(因?yàn)樗借€在自己手上，沒有經(jīng)歷過網(wǎng)絡(luò)傳輸)使用對(duì)稱加密算法加解密內(nèi)容效率高(4)缺點(diǎn)服務(wù)器給瀏覽器傳輸公鑰時(shí)沒法保證該瀏覽器不會(huì)泄露公鑰

基于這個(gè)缺點(diǎn)，我們需要依賴第三方機(jī)構(gòu)協(xié)助，讓我們的 HTTPS 更安全可靠。

具體如下：

對(duì)于第三步的傳輸公鑰改成傳輸公鑰數(shù)字證書數(shù)字證書組成：

公鑰用戶信息

公鑰

簽名

通過 hash(公鑰，公司信息，域名等申請(qǐng)信息) 獲取數(shù)據(jù)摘要;CA 再對(duì)摘要信息進(jìn)行加密，這個(gè)密文就是簽名

CA 信息

有效期

證書序列號(hào)

數(shù)字證書由第三方機(jī)構(gòu)(CA 機(jī)構(gòu))頒發(fā)公司信息、系統(tǒng)的域名和公鑰需要到 CA 機(jī)構(gòu)進(jìn)行認(rèn)證，認(rèn)證通過后 CA 再給我們頒發(fā)證書，證書內(nèi)容如上不累述。因?yàn)檫@證書有簽名，所以證書內(nèi)容不可被篡改，從而證書里面的公鑰用戶信息和公鑰的安全性就得到了保證。CA 機(jī)構(gòu)頒發(fā)的證書的可靠性依賴于根證書，而根證書是**作系統(tǒng)或?yàn)g覽器內(nèi)置的(換句話說，我們就是要相信**作系統(tǒng)或者瀏覽器的安全性)

綜上所述，我們 HTTPS 的安全性是基于對(duì)根證書的信任和加密算法的信任，從而認(rèn)為自己是安全的。

上面也提到了，基于某個(gè)信任點(diǎn)，我們的安全才能聊下去，所以是沒有絕對(duì)的安全的。如果黑客劫持了瀏覽器，讓你所有請(qǐng)求先到他，他再到服務(wù)器，那么你請(qǐng)求的所有數(shù)據(jù)都會(huì)先到黑客手上，那么就不安全了。舉例：我們的梯子很多就是**，瀏覽器發(fā)出的請(qǐng)求被它**，第二走到可以**的服務(wù)器上再去請(qǐng)求資源，得到的數(shù)據(jù)自然也是原路返還，那么這個(gè)中轉(zhuǎn)服務(wù)器就可以做很多**作了。

相信到這里，大家已經(jīng)知道我們常說的網(wǎng)絡(luò)分層架構(gòu)一般是定義成5層或者7層，而我們所說的網(wǎng)絡(luò)協(xié)議是針對(duì)里面某一層的通信協(xié)議。這里以我們最常接觸的 http 和 https 為例做了說明，并且講了它們的區(qū)別，還延申了下網(wǎng)絡(luò)安全方面的內(nèi)容。

作者介紹

蔡柱梁，51CTO社區(qū)編輯，從事Java后端開發(fā)8年，做過傳統(tǒng)項(xiàng)目廣電BOSS系統(tǒng)，后投身互聯(lián)網(wǎng)電商，負(fù)責(zé)過訂單，TMS，中間件等。

拓展知識(shí)：

前沿拓展：

1.目錄網(wǎng)絡(luò)協(xié)議HTTPHTTPS

希望通過這篇文章能讓讀者了解什么是網(wǎng)絡(luò)協(xié)議，以及目前我們最常接觸的 http 和 https。

2.網(wǎng)絡(luò)協(xié)議

網(wǎng)絡(luò)協(xié)議是為計(jì)算機(jī)網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或約定。

眾所周知，網(wǎng)絡(luò)是一臺(tái)臺(tái)的計(jì)算機(jī)構(gòu)成的一張“大網(wǎng)”，彼此通訊，交互數(shù)據(jù)。我們也都知道不同的計(jì)算機(jī)廠家生產(chǎn)的計(jì)算機(jī)肯定是存在差異的，那么它們是如何克服這些差異進(jìn)行通信呢?顯然就是“語言”，我們的語言能彼此交流是因?yàn)槲覀儗?duì)這些定義產(chǎn)生了共識(shí)，比如蘋果指代的就是具體的一種水果等等。而計(jì)算機(jī)也是通過建立這種約定來完成通信的。不過要注意!這網(wǎng)絡(luò)協(xié)議不僅僅是給計(jì)算機(jī)互相間使用的，而是給網(wǎng)絡(luò)上所有設(shè)備(服務(wù)器、個(gè)人PC、交換機(jī)、路由器、防火墻等)使用的。大多數(shù)網(wǎng)絡(luò)都采用分層的體系結(jié)構(gòu)，每一層都建立在它的下層之上，向它的上一層提供一定的服務(wù)，而把如何實(shí)現(xiàn)這一服務(wù)的細(xì)節(jié)對(duì)上一層加以屏蔽(這就類似我們代碼中的接口)。一臺(tái)設(shè)備上的第 n層與另一臺(tái)設(shè)備上的第n層進(jìn)行通信的規(guī)則就是第n層協(xié)議。在網(wǎng)絡(luò)的各層中存在著許多協(xié)議，接收方和發(fā)送方同層的協(xié)議必須一致，否則一方將無法識(shí)別另一方發(fā)出的信息。網(wǎng)絡(luò)協(xié)議使網(wǎng)絡(luò)上各種設(shè)備能夠相互交換信息。上面提到了大多數(shù)網(wǎng)絡(luò)都采用分層，這里說下分層模型：

OSI 模型(Open System Interconnection Reference Model)，一種概念模型，由國際標(biāo)準(zhǔn)化組織提出，是一個(gè)試圖使各種計(jì)算機(jī)在世界范圍內(nèi)互連為網(wǎng)絡(luò)的標(biāo)準(zhǔn)框架。它具體分為七層：應(yīng)用層(第七層)為應(yīng)用軟件而設(shè)的接口，用于應(yīng)用間的通信表示層(第六層)將數(shù)據(jù)轉(zhuǎn)為接收系統(tǒng)可以使用的格式會(huì)話層(第五層)會(huì)話層是建立在傳輸層之上，利用傳輸層提供的接口，使應(yīng)用建立和維持會(huì)話，并能使會(huì)話獲得同步(簡單理解成數(shù)據(jù)傳輸?shù)囊粋€(gè)通道)傳輸層(第四層)將傳輸表頭(TH，傳輸表頭包含了所使用的協(xié)議等信息)加至數(shù)據(jù)(我們要傳輸?shù)臄?shù)據(jù))形成數(shù)據(jù)包網(wǎng)絡(luò)層(第三層)網(wǎng)絡(luò)層決定了數(shù)據(jù)的傳輸路徑和轉(zhuǎn)寄，它會(huì)將網(wǎng)絡(luò)表頭(NH，包含了網(wǎng)絡(luò)數(shù)據(jù)：IP 等)加入數(shù)據(jù)包中數(shù)據(jù)鏈路層(第二層)數(shù)據(jù)鏈路層(Data Link Layer)負(fù)責(zé)網(wǎng)絡(luò)尋址、錯(cuò)誤偵測(cè)和改錯(cuò)物理層(第一層)物理層確保原始數(shù)據(jù)可以在各種物理媒體上傳輸

TCP/IP 協(xié)議族分層方式與 OSI 分層的同異，如下圖：

下面會(huì)對(duì)一個(gè)簡單的場(chǎng)景進(jìn)行網(wǎng)絡(luò)請(qǐng)求畫圖。

場(chǎng)景：我給公司寫了一個(gè) hello world 的簡單的靜態(tài)頁面部署在公司的服務(wù)器上，我用自己的電腦在家里通過公網(wǎng)訪問這個(gè)靜態(tài)頁面，比如網(wǎng)址是“http://www.xxx.com”。

當(dāng)我訪問這個(gè)網(wǎng)址時(shí)，瀏覽器都做了些什么呢?我們看下圖：

TCP

TCP(Tran**ission Control Protocol，傳輸控制協(xié)議)是一種面向連接的，可靠的，基于字節(jié)流的，雙向傳輸?shù)膫鬏攲油ㄐ艆f(xié)議。它在建立連接時(shí)會(huì)經(jīng)過三次握手，三次握手完成后才會(huì)開始傳輸數(shù)據(jù);在終止連接時(shí)，它需要四次揮手。具體如下：

(1)建立連接

圖源：百度百科

三次握手：

客戶端發(fā)送 SYN 報(bào)文給服務(wù)端，進(jìn)入 SYN_SEND 狀態(tài)服務(wù)器回復(fù) SYN，進(jìn)入 SYN_RECV 狀態(tài)客戶端收到來自服務(wù)端的 SYN 報(bào)文后，回復(fù) ACK

客戶端和服務(wù)端進(jìn)入 Established 狀態(tài)，可以開始收發(fā)數(shù)據(jù)了。

(2)終止連接

圖源：百度百科

四次揮手(注意：close 動(dòng)作可以由任意一端先發(fā)起，這里以 client 發(fā)起為例)：客戶端先調(diào)用 close，執(zhí)行 active close，并發(fā)送 FIN 表示數(shù)據(jù)發(fā)送完畢，進(jìn)入 FIN_WAIT_1 狀態(tài)服務(wù)端接收到 FIN 后，執(zhí)行 passive close，并給客戶端發(fā)送 ACK，進(jìn)入 CLOSE_WAIT 狀態(tài)服務(wù)端給客戶端發(fā)送一個(gè) FIN，進(jìn)入 LAST_ACK 狀態(tài)

主動(dòng)發(fā)起 close 的一方負(fù)責(zé)最終確認(rèn) FIN，這個(gè)例子就是客戶端需要接收 FIN 并回復(fù) ACK 給服務(wù)端，進(jìn)入 TIME_WAIT 狀態(tài)，服務(wù)端收到 ACK 后進(jìn)入 CLOSED 狀態(tài)

為什么終止的時(shí)候是四次揮手呢?

因?yàn)橐环街鲃?dòng)發(fā)起 close 并發(fā)送 FIN 僅僅代表它不再發(fā)送數(shù)據(jù)，可是還能接收數(shù)據(jù)，所以需要另一方也進(jìn)行 close 并發(fā)送 FIN 通知對(duì)方。至于為什么要將 ACK 和 FIN 分開呢?是因?yàn)?ACK 是告訴對(duì)方“我知道了”，而 FIN 是告訴對(duì)方“我也沒有數(shù)據(jù)給你了”。而實(shí)際情況不一定是我收到 FIN 就剛好也把數(shù)據(jù)都給完對(duì)方了，所以是需要分開的。

HTTP

HTTP(HyperText Transfer Protocol)，超文本傳輸協(xié)議，它是基于 TCP 協(xié)議實(shí)現(xiàn)的。

HTTP 是一種無狀態(tài)協(xié)議，像我們作為游客訪問一個(gè)頁面時(shí)，無狀態(tài)協(xié)議是簡單且高效的。不過像電商場(chǎng)景是需要記錄用戶登錄狀態(tài)或記錄購物車商品信息的(除了電商像一些中臺(tái)系統(tǒng)也是需要記錄用戶狀態(tài)的，這里僅是舉例)，這時(shí)就需要一些額外的技術(shù)協(xié)助了，如：Cookie。

HTTP 報(bào)文格式

HTTP 協(xié)議的請(qǐng)求報(bào)文和響應(yīng)報(bào)文的結(jié)構(gòu)基本相同。

報(bào)文由三大部分組成：

起始行描述請(qǐng)求或響應(yīng)的基本信息，如：GET /** HTTP/1.1、HTTP/1.1 200 OK 等頭部字段**使用 key-value 說明報(bào)文(想想請(qǐng)求頭和響應(yīng)頭)消息正文HTTPS

HTTP 是基于 TCP 實(shí)現(xiàn)的，它的報(bào)文是明文，整個(gè)傳輸過程完全是透明的，任何環(huán)節(jié)都可以輕松獲截、修改，這是很不安全的。因此，安全的 HTTP 協(xié)議應(yīng)運(yùn)而生—— HTTPS。HTTPS其實(shí)就是在HTTP之上增加了SSL。

(1) SSL/TLS

SSL 即安**接層(Secure Sockets Layer)，1999年改名為 TLS(傳輸層安全， Transport Layer Security)

有幾個(gè)概念要先說清楚：

對(duì)稱加密通過同一把“鑰匙”進(jìn)行加密和解密非對(duì)稱加密有兩把“鑰匙”——公鑰，私鑰，使用公鑰加密的，需要使用私鑰解密;使用私鑰加密的，需要公鑰解密摘要算法將一個(gè)隨機(jī)長度的內(nèi)容生成一個(gè)定長的內(nèi)容，常見算法有：MD5、sha1、sha2等等安全性沒有絕對(duì)的安全，我們所說的數(shù)據(jù)安全都是基于一個(gè)信任點(diǎn)，認(rèn)為它是安全的，我們所說的安全才能成立，否則不存在安全一說。如：非對(duì)稱加密和對(duì)稱加密，我們相信這些算法的安全性，因此認(rèn)為只要密鑰不泄露，那么就是安全的(2)HTTPS 工作流程大致如下：

先完成三次握手，這里和 HTTP 是一致的

瀏覽器給服務(wù)器發(fā)送加密套件列表(就是告訴服務(wù)器自己支持的加密算法)服務(wù)器根據(jù)加密套件列表挑選加密算法，并給瀏覽器發(fā)送公鑰瀏覽器獲取公鑰后，隨機(jī)生成對(duì)稱加密算法使用的密鑰，通過公鑰加密該密鑰，第二發(fā)送密文給服務(wù)器服務(wù)器使用私鑰解密，對(duì)于該會(huì)話的內(nèi)容信息都使用該密鑰加密傳輸給瀏覽器(3)優(yōu)點(diǎn)通過非對(duì)稱加密保證瀏覽器傳輸?shù)拿荑€不會(huì)被破解(因?yàn)樗借€在自己手上，沒有經(jīng)歷過網(wǎng)絡(luò)傳輸)使用對(duì)稱加密算法加解密內(nèi)容效率高(4)缺點(diǎn)服務(wù)器給瀏覽器傳輸公鑰時(shí)沒法保證該瀏覽器不會(huì)泄露公鑰

基于這個(gè)缺點(diǎn)，我們需要依賴第三方機(jī)構(gòu)協(xié)助，讓我們的 HTTPS 更安全可靠。

具體如下：

對(duì)于第三步的傳輸公鑰改成傳輸公鑰數(shù)字證書數(shù)字證書組成：

公鑰用戶信息

公鑰

簽名

通過 hash(公鑰，公司信息，域名等申請(qǐng)信息) 獲取數(shù)據(jù)摘要;CA 再對(duì)摘要信息進(jìn)行加密，這個(gè)密文就是簽名

CA 信息

有效期

證書序列號(hào)

數(shù)字證書由第三方機(jī)構(gòu)(CA 機(jī)構(gòu))頒發(fā)公司信息、系統(tǒng)的域名和公鑰需要到 CA 機(jī)構(gòu)進(jìn)行認(rèn)證，認(rèn)證通過后 CA 再給我們頒發(fā)證書，證書內(nèi)容如上不累述。因?yàn)檫@證書有簽名，所以證書內(nèi)容不可被篡改，從而證書里面的公鑰用戶信息和公鑰的安全性就得到了保證。CA 機(jī)構(gòu)頒發(fā)的證書的可靠性依賴于根證書，而根證書是**作系統(tǒng)或?yàn)g覽器內(nèi)置的(換句話說，我們就是要相信**作系統(tǒng)或者瀏覽器的安全性)

綜上所述，我們 HTTPS 的安全性是基于對(duì)根證書的信任和加密算法的信任，從而認(rèn)為自己是安全的。

上面也提到了，基于某個(gè)信任點(diǎn)，我們的安全才能聊下去，所以是沒有絕對(duì)的安全的。如果黑客劫持了瀏覽器，讓你所有請(qǐng)求先到他，他再到服務(wù)器，那么你請(qǐng)求的所有數(shù)據(jù)都會(huì)先到黑客手上，那么就不安全了。舉例：我們的梯子很多就是**，瀏覽器發(fā)出的請(qǐng)求被它**，第二走到可以**的服務(wù)器上再去請(qǐng)求資源，得到的數(shù)據(jù)自然也是原路返還，那么這個(gè)中轉(zhuǎn)服務(wù)器就可以做很多**作了。

相信到這里，大家已經(jīng)知道我們常說的網(wǎng)絡(luò)分層架構(gòu)一般是定義成5層或者7層，而我們所說的網(wǎng)絡(luò)協(xié)議是針對(duì)里面某一層的通信協(xié)議。這里以我們最常接觸的 http 和 https 為例做了說明，并且講了它們的區(qū)別，還延申了下網(wǎng)絡(luò)安全方面的內(nèi)容。

作者介紹

蔡柱梁，51CTO社區(qū)編輯，從事Java后端開發(fā)8年，做過傳統(tǒng)項(xiàng)目廣電BOSS系統(tǒng)，后投身互聯(lián)網(wǎng)電商，負(fù)責(zé)過訂單，TMS，中間件等。

拓展知識(shí)：