Http和Https

Http

概念：超文本传输协议，一种通过计算机处理文本信息的方法，端口80

特点：

1、支持客户/服务模式，即client/server模式
包括client/server和browser/server
支持客户端(桌面级，native)，浏览器与服务端进行交互

2、使用简单：客户向服务器请求服务时，只需传送请求方法和路径。HTTP 请求由三部分组成：请求行(请求方法、URL以及协议版本，之间由空格分隔)、请求头（请求头部为请求报文添加了一些附加信息）和请求正文。由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快。

3、灵活：允许传输任意类型的数据对象，正在传输的类型通过Content-Type加以标记

4、无连接：无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间。
可以通过在client端将请求头的Connection设置为keep-alive保持连接，默认为close
server支持并打开keepalive是首要条件，若server与client设置的keepalive时长不同时，则以短的那个时间为准，到时间的一方发Fin包主动关闭连接

5、无状态：http是无状态协议。无状态协议意味着对事务处理没有记忆能力，如果后续处理要用到前面的信息，必须重传，可能导致每次连接传递的数据量变大。优点是应答较快。

http的工作流程：

1、建立TCP/IP连接，客户端与服务器通过Socket三次握手进行连接。
三次握手：
第一步：client将标志位SYN置为1，产生一个随机值seq=j并发送到server发起握手，并自己进入SYN_SEND状态，等待server确认
第二步：server收到数据包后由SYN=1知道client请求建立连接，将标记位SYN和ACK都置为1，ack=j+1，也生成一个随机数seq=k，并将该数据包发送给client以确认连接请求，自己进入SYN_RCVD状态(把这个链接信息放入到半链接队列中)
第三步：client收到确认后，检查ack是否为j+1，标志位ACK是否为1，正确则将标志位ACK置为1，并ack=k+1，将数据包发送给server。由server检查ack是否为k+1，标志位ACK是否为1，正确则连接建立成功。(client和server进入estanlished建立连接状态)
 
server接收到client发送过来的ack后，若全链接队列没满，则从半连接队列中拿出这个信息放入到全连接队列中，否则按照tcp_about_on_overflow的指示工作
若tcp_about_on_overflow为0，server会过一段时间再发送一次syn+ack到client(TCP/IP连接的第二步)，如果client设置的等待时间太短，client则很容易异常。
 
怎么看TCP连接队列溢出
一、netstat -s | egrep "listen"
若listen queue的times一直在增加肯定全队列偶尔满了
二、ss - lnt
第二列的Send-Q的值表示第三列listen的端口上最大全连接数量，第一列Recv-Q为当前使用全连接队列的量
 
如何解决TCP连接队列溢出：提高backlog的值

2、客户端像服务端发起http请求，如post/login.html http/1.1

3、客服端发送请求头，请求体信息，最后一行空白行表示客户端请求完毕

4、服务器做出应答，返回状态码，表示队伍客户端请求的应答，如http/1.1 200 OK

5、服务器向客户端发送响应头信息，发送一个空白行表示响应头信息发送完毕

6、服务器根据Content-type要求的数据格式向客户端发送数据

7、服务器关闭TCP/IP连接，若服务端或客户端设置Connection：keep-alive表示客户端与服务端将继续保持连接，下次请求可以继续使用这次的连接。

Https

概念：安全的超文本传输协议。端口443

在常规的TCP协议之上加入了一层TLS或SSL协议

Https建立连接的过程

1、同样先根据TCP/IP三次握手建立TCP连接

2、建立完TCP/IP连接之后，不立即发出请求索要资源。而是建立TSL连接(在TCP连接之后包裹一层加密协议)
建立TSL连接的过程：
2.1、客服端把支持加密算法Cipher Suite(密钥算法套件)发送给服务端。 ---同时还包括可用版本号、会话id、客户端随机数，可用压缩方式清单等
 
2.2、服务端接收到Cipher之后与自己支持的加密算法对比，不匹配则断开连接。匹配，则把符合的算法和证书，公钥发送给客户端，包括证书时间，证书日期，证书颁发的机构。 ---同时还包括使用的版本号、服务端随机数，使用的压缩方式等
 
2.3、客户端验证证书，包括颁发机构是否合法，过期，正在访问网站的网站是否包含在证书中。
验证通过后客户端生成一串随机字符串，然后用服务器的公钥加密，保证服务器才能看到这串随机字符串。(因为服务器拥有公钥对应的私钥，RSA解密，可以知道客户端的随机字符串)
生成握手信息，用约定好的算法HASH算法，对握手信息取HASH，再用随机字符串加密握手信息和握手信息的签名HASH值。带上签名HASH值就防止了信息被篡改，如果被篡改了，服务端进行HASH时就会发现自己获取的HASH与客户端不一样
 
2.4、服务端接收到加密信息以后，用私钥解密得到随机字符串，然后用随机字符串解密握手信息，过的握手信息和握手信息的HASH值。服务端对握手信息进行HASH，若与客户端传回来的HASH相同，则验证通过。同样使用客户端发过来的随机字符串加密握手信息和握手信息的HASH值发给客服端。
 
2.5、客户端接收到服务端发回来的握手信息后，用一开始生成的随机字符串对密文解密，得到握手信息和握手信息的HASH值，像服务端一样对握手信息进行校验。校验通过则握手完毕。
 
2.6、从这里开始客户端和服务端的通信就通过那串随机字符串进行AES对称加密

简单的概括过程：

使用RSA非对称算法，服务端向客户端发送公钥，公钥包含了域名、颁发机构、过期日期。保证了公钥的合法性和服务端的身份正确性（而不会被黑客冒充）
客户端向第三方验证公钥的合法性，验证通过后向服务端约定对称加密的随机字符号。保证了随机字符串只有通信双方知道。
接下来的通信就使用这个随机字符号进行加密通信。因为随机字符串只有双方知道，所以信息不会被截获。

主要作用：

1、建立信息安全通道，来保证信息传输的安全。
2、确认网站的真实性。

https和http的主要区别：

一、https协议需要到ca机构申请ssl证书(如沃通CA)，另外沃通CA还提供3年期的免费ssl证书，高级别的ssl证书需要一定费用。

二、http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议。

三、http和https使用的是完全不同的连接方式，用的端口也不一样，http是80端口，https是443端口。

四、http的连接很简单，是无状态的;https协议是由ssl+http协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。