关于面试：什么是Http，什么是Https

我只是随便看了这一段，其余的我不明白。

Http（HTTP 超文本传输协议）是一种简单的请求/响应协议，通常在TCP 上运行。指定客户端可以发送到服务器的消息类型以及客户端接收的响应类型。请求和响应消息的标头以ASCII 代码指定，消息内容采用类似MIME 的格式。这个简单的模型为Web 的早期成功做出了贡献，因为它非常容易开发和部署。

https（正式名称：Hyper Text Transfer Protocol over SecureSocket Layer）是一种以安全为目的的HTTP通道，它基于HTTP，通过通信加密和身份认证来保证通信过程的安全。 HTTPS 在HTTP 的基础上添加了SSL 层。 HTTPS的安全基础是SSL，因此加密细节需要SSL。 HTTPS 具有与HTTP 不同的默认端口和加密/身份验证层（HTTP 和TCP 之间）。该系统提供身份验证和加密的通信方式。它广泛用于万维网上的安全敏感通信，例如交易支付。

粗解Http、Https的区别（学疏才浅，不敢详解）

HTTP是超文本传输协议，数据以明文形式发送，存在数据包被抓包、信息泄露等安全风险。 https 是一种安全的SSL 加密通信协议。 HTTP 和HTTPS 使用完全不同的连接方法和不同的端口。前者是80，后者是443。 HTTP 连接非常简单且无状态。 HTTPS协议是在SSL+HTTP协议基础上构建的一种网络协议，可以进行加密通信和身份认证。 HTTPS协议需要您支付费用才能向CA申请证书。

HTTP和其他应用层协议一样，是一种用于实现某种特定应用的协议，其功能是由运行在用户空间的应用程序来实现的。 HTTP是一种协议规范，也是HTTP的实现，实际上是通过HTTP协议进行通信的。

HTTP 是一种无状态协议。也就是说，服务器不维护与客户端的事务状态。这显着减少了服务器上的内存负载并保持更快的响应速度。

HTTP 是一种面向对象的协议。允许传输任何类型的数据对象。它根据数据类型和长度来识别传输数据的内容和大小，并实现压缩数据传输。当用户在HTML文档中定义超文本链接时，浏览器通过TCP/IP协议与指定服务器建立连接。

上面的总结其实很废话。请忽略。

上图是HTTP工作流程图。 HTTP 在TCP 标头层之前添加了安全层(SSL/TSL)，用于加密和解密HTTP 消息。

注意：TLS 是SSL 的升级替代版本。具体发展历史请参见传输层安全协议。

Https解决的问题

HTTPS协议采用密文传输，比HTTP协议更安全。

1、信任主机的问题。

使用https的服务器必须向CA申请证书以证明服务器的使用类型。如果证书用于相应的服务器，则客户端仅信任辅助主机。因此，目前银行系统的所有网站和主要应用都是https。通过信任证书，客户端也就信任了主机。实际上，这是非常低效的，但银行更关心安全。这对我们来说没有意义。无论我们的服务器使用的证书是我们自己颁发的还是公众颁发的，我们的客户都信任我们的服务器，因为这是我们自己的需要。

2、通讯过程中的数据的泄密和被窜改。

(1)一般意义上的https，就是 server 有一个证书，

主要目的是验证服务器是否是其声称的服务器。这一点与第一点相同。 b) 服务器和客户端之间的所有通信均经过加密。 i. 具体来说，客户端生成对称密钥并通过服务器的证书交换密钥。一般意义上的握手过程。 ii.此外，所有信息交换都是加密的，因此即使第三方拦截或篡改也没有任何意义。

(2)少许对客户端有要求的情况下，会要求客户端也必须有一个证书。

这里的客户端证书实际上类似于代表一个用户名/密码以及一个经过CA认证的身份。这提供了更好的理解，因为个人证书通常不能被其他人模拟。验证您的身份。目前，一些专业版的个人银行已经采用了这种方式，并且可能会使用U盘作为带有某些证书的备份载体。 HTTPS 在HTTP 层和TCP 层之间添加了SSL/TLS 协议。这样可以有效解决上述风险。

信息加密：您的交互信息不会被窃取，但如果您“忘记”，您的账户将会丢失。 验证机制：通信内容不可篡改。即使被篡改，也无法正确显示。但百度的“竞价排名”可以搜索到垃圾广告。 ID：证明淘宝是真正的淘宝，但你还是因为“手挑”而亏钱。

事实证明，只要你不做任何“邪恶”的事情，SSL/TLS 协议就可以确保安全通信。

添加一名作者

链接：https://juejin.cn/post/6904227431939342344