HTTP:无状态,提供明文的数据传输,不安全
HTTPS:http + ssl,提供安全的数据加密传输以及身份认证功能;使用非对称加密和对称加密两种方式实现的。
https协议中最耗时的一段是在ssl握手阶段;CA证书是统一放在CA证书中心;
客户端和服务器建立连接之后,服务器会向客户端发送CA证书,之后客户端拿着CA证书去CA中心进行身份验证并获得公钥信息;
之后,客户端和服务器约定密钥生成算法,之后客户端把生成的密钥使用公钥加密,服务器接收到消息之后会拿自己的私钥进行解密,这个时候客户端和服务器便各自拥有一个套相同的公钥、密钥了;
建立SSL链接之后,服务器向客户端发送的数据都会使用公钥进行加密,而客户端会拿私钥对加密的数据进行解密,得到原始的数据。这个过程中,即使加密的数据被第三方获取到,因为他们没有密钥,数据也没法解密。
HTTP:无状态
即服务器不保留与客户交易时的任何状态,也就是说,上一次的请求对这次的请求没有任何影响,服务端也不会对客户端上一次的请求进行任何记录处理,
带来的问题:用户登录后,切换到其他界面,进行操作,服务器端是无法判断是哪个用户登录的。 每次进行页面跳转的时候,得重新登录
解决办法:两种用于保持HTTP状态的技术就应运而生了,一个是 Cookie,而另一个则是 Session