年后没有工作的我,在经历了几次面试之后,拿到了offer,实在是因为本人太懒了,不想面试太多家,就随便同意了一个offer,薪水一直是我的痛病,决定这几天再投几家好的。在之前的面试过程中,没有深入回答上来的问题就是这个。http和https到底有什么不同。
在电话面试的时候,问到这个问题的时候,我还是像之前那样回答,https比http安全,要使用https的话需要安装ssl证书之类的。但是之后面试官又问,https是怎么保护用户的信息安全的。这让我只知道皮毛的我哑口无言。之后在某乎上面看到了一个作者做出了很详细的分析才大概知道(看完几天之后又忘记了...)。
https:超文本传输安全协议。https经由http进行通信,但利用SSL/TLS来加密数据包。https开发的主要目的是提供对网站服务器的身份认证,保护交换数据的隐私和完整性。
常规的http通信有以下这些问题:1.窃听风险 2.篡改风险(这个侥幸回答出来了) 3.冒充风险
在通过SSL/TLS协议之后,上面的问题得到了解决:1.所有信息都是加密传播 2.具有校验机制,一旦被篡改,通信双方会立即发现 3.配备身份证书,防止身份被冒充。
SSL/TLS的思路过程:客户端向服务端索要公钥,然后用公钥加密信息,服务端收到加密信息之后,然后用私钥解开,这样的话,用户的信息就不会被暴露出来。
网友评论