HTTPS 的基本原理
HTTPS = HTTP + TLS/SSL
,简单理解 HTTPS 其实就是在 HTTP 上面加多了一层安全层。HTTP 可以是 Http2.0 也可以是 Http1.1,不过现在 Http2.0 是强制要求使用 Https 的。
HTTPS 基本原理
首先需要一个第三方认证机构(CA认证),确保公钥的合法性(即证书,不合法的证书浏览器会警告),然后利用非对称加密(公钥私钥)方式加密并传输共享密钥到服务器,可以确保共享密钥无法被拦截被获取到(共享密钥被公钥加密了,只有对应的私钥才能解密,服务器有私钥),最终的客户端和服务端 HTTP 传输就是使用共享秘钥加密进行通信。
HTTPS 流程图
首先,我们先看下HTTPS 的整个流程。
HTTPS 是如何确保安全的?
- 使用非对称密钥(即公钥私钥))和对称密钥)(即共享密钥)相结合
通过公钥私钥的方式,避免了共享密钥发送途中被第三方拦截获取密钥的安全问题。
通过公钥和私钥加密建立保护层(即 SSL 保护层),后续的 Http 请求就会使用共享密钥进行加密通信(共享的密钥已经被 SSL 保护起来了,外面无法拦截到),即所谓的安全层。
所以建立了安全层后,即使 HTTP 报文被拦截到,也无法解密。
- CA 认证
由于公钥这个环节是公开的,存在被替换的风险,所以就有了第三方证书认证公司(CA认证),浏览器通过判断证书是否有效,发现网站是否值得信任。
一般系统或者浏览器都会内置信任的根证书(这些 CA 组织都是非常可信的),浏览器可以根据这个根证书判断网站的证书是否合法。
证书如果不合法,那么浏览器就会警告,不给用户访问证书不合法的网站,除非用户跳过这个警告。
大前端探索
不断学习互联网大前端技术,分享和总结学习成果。
1.2k 声望
88 粉丝
推荐阅读
【Vite 实践】Vite 库模式能满足你吗?或许你需要统一构建
但是在类库模式的构建上却有所欠缺,只能处理单个输入和单输入出的情况,构建场景单一,Vite 社区上目前也没有可直接使用的工具,所以才有了开发一个统一构建插件的想法。
Samon阅读 1.8k
从零搭建 Node.js 企业级 Web 服务器(零):静态服务
过去 5 年,我前后在菜鸟网络和蚂蚁金服做开发工作,一方面支撑业务团队开发各类业务系统,另一方面在自己的技术团队做基础技术建设。期间借着 Node.js 的锋芒做了不少 Web 系统,有的至今生气蓬勃、有的早已夭折...
乌柏木赞 141阅读 11.9k评论 10
从零搭建 Node.js 企业级 Web 服务器(十五):总结与展望
总结截止到本章 “从零搭建 Node.js 企业级 Web 服务器” 主题共计 16 章内容就更新完毕了,回顾第零章曾写道:搭建一个 Node.js 企业级 Web 服务器并非难事,只是必须做好几个关键事项这几件必须做好的关键事项就...
乌柏木赞 60阅读 5.9k评论 16
再也不学AJAX了!(二)使用AJAX ① XMLHttpRequest
「再也不学 AJAX 了」是一个以 AJAX 为主题的系列文章,希望读者通过阅读本系列文章,能够对 AJAX 技术有更加深入的认识和理解,从此能够再也不用专门学习 AJAX。本篇文章为该系列的第二篇,最近更新于 2023 年 1...
libinfs赞 39阅读 6.1k评论 12
从零搭建 Node.js 企业级 Web 服务器(一):接口与分层
分层规范从本章起,正式进入企业级 Web 服务器核心内容。通常,一块完整的业务逻辑是由视图层、控制层、服务层、模型层共同定义与实现的,如下图:从上至下,抽象层次逐渐加深。从下至上,业务细节逐渐清晰。视图...
乌柏木赞 39阅读 7.1k评论 6
【关于Javascript】--- 正则表达式篇
基础知识一、元字符 {代码...} 二、量词 {代码...} 三、集合 字符类 {代码...} 四、分支 {代码...} 五、边界 开始结束 {代码...} 六、修饰符 {代码...} 七、贪婪模式和非贪婪模式js默认贪婪模式即最大可能的匹配...
Jerry赞 35阅读 2.9k
从零搭建 Node.js 企业级 Web 服务器(二):校验
校验就是对输入条件的约束,避免无效的输入引起异常。Web 系统的用户输入主要为编辑与提交各类表单,一方面校验要做在编辑表单字段与提交的时候,另一方面接收表单的接口也要做足校验行为,通过前后端共同控制输...
乌柏木赞 32阅读 6k评论 9
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。