https协议比http协议更安全（带你十分钟搞懂HTTP与HTTPS协议及请求的区别）

网络协议是计算机之间为了实现网络通信从而达成的一种“约定”或“规则”，正是因为这个“规则”的存在，不同厂商的生产设备、及不同操作系统组成的计算机之间，才可以实现通信。简单来说，计算机与网络设备之间如果需要进行通信，双方必须基于相同的方法。

HTTP协议也可以叫做超文本传输协议，全称为Hyper Text Transfer Protocol，HTTP协议和 TCP/IP 等其他众多协议类似，用于客户端和服务器之间的通信。请求访问文本或图像等资源的一端称为客户端，而提供资源响应的一端则称为服务器端。

HTTP是一个基于TCP/IP通信协议来进行数据传递的，常见的传输数据类型为HTML文件、图片文件、查询结果等。

我们在浏览器中输入一个URL回车之后，便会在浏览器中观察到页面内容。实际上，这个过程是浏览器向网站所在的服务器发送了一个请求，网站服务器接收到这个请求后进行处理和解析，然后返回对应的响应，接着传回给浏览器。响应里包含了页面的源代码等内容，浏览器再对其进行解析，便将网页呈现了出来，模型如图2-4所示。

图2-4

1、HTTP协议支持客户端/服务端请求，也是一种请求/响应模式的协议。

2、简单快速：客户向服务器发起请求时，只需要传送请求方法和路径，请求方法常用的有GET、HEAD、POST。

3、灵活：HTTP允许传输任意类型的数据，传输的类型由Content-Type进行标记。

4、无连接：限制每次连接只处理一个请求，服务器处理完请求并收到客户的答复后，即断开连接，但这不利于客户端与服务器保持会话连接，为了弥补这种不足，产生了两项记录HTTP状态的技术，一个叫做Cookie,一个叫做Session。

5、无状态：无状态是指协议对于事务处理没有记忆，后续处理需要前面的信息，则必须重传。

HTTP使用统一资源标识符来传输数据和建立连接。

• URI：Uniform Resource Identifier，即统一资源标识符
• URL：Uniform Resource Location，即统一资源定位符

可以从字面意思看出，URI是用来标识一个资源的，可以通过URI知道一个资源是什么；而URL是用来定位资源的，表示了一个资源的具体位置，互联网中的每个文件都有各自独立的URL

• GET：用于使用给定的URI从给定服务器中检索信息，即从指定资源中请求数据。
• POST：向指定资源提交数据进行处理请求（例如提交表单或者上传文件），POST请求永远不会被缓存，且对数据长度没有限制，我们无法从浏览器历史记录中查找到POST请求。
• HEAD：类似于get请求，但没有响应体，仅传输状态行和标题部分。这对于恢复相应头部编写的元数据非常有用，而无需传输整个内容。
• PUT：从客户端向服务器传送的数据取代指定的文档的内容。它可以用上传的内容替换目标资源中的所有当前内容，它会将包含的元素放在所提供的URI下。
• DELETE：用来删除指定的资源，它会删除URI给出的目标资源的所有当前内容。

访问一个网页时，浏览器会向web服务器发出请求，服务器会返回一个包含HTTP状态码的信息头用以响应浏览器的请求。

• 1XX- 信息型，服务器收到请求，需要请求者继续操作。
• 2XX- 成功型，请求成功收到，理解并处理。
• 3XX - 重定向，需要进一步的操作以完成请求。
• 4XX - 客户端错误，请求包含语法错误或无法完成请求。
• 5XX - 服务器错误，服务器在处理请求的过程中发生了错误。

常见状态码：

• 200 OK - 客户端请求成功
• 301 - 资源（网页等）被永久转移到其它URL
• 302 - 临时跳转
• 400 Bad Request - 客户端请求有语法错误，不能被服务器所理解
• 401 Unauthorized - 请求未经授权，这个状态代码必须和WWW-Authenticate报头域一起使用
• 404 - 请求资源不存在，可能是输入了错误的URL
• 500 - 服务器内部发生了不可预期的错误
• 503 Server Unavailable - 服务器当前不能处理客户端的请求，一段时间后可能恢复正常。

一般情况下，HTTP协议会存在这些问题：

1. 请求信息明文传输，容易被窃听盗取
2. 数据的完整性未校验，容易被篡改
3. 没有验证对方身份，存在冒充风险

为了解决这些HTTP所存在的问题，HTTPS就诞生了，全称为HyperText Transfer Protocol over Secure Socket Layer，一般理解为HTTP SSL/TLS，通过 SSL证书来验证服务器的身份，并为浏览器和服务器之间的通信进行加密。

HTTPS传输数据的流程又是怎样的？

其详细过程如下：

1. 客户端向服务器发起HTTPS的请求，连接到服务器的443端口；
2. 服务器将非对称加密的公钥传递给客户端，以证书的形式回传到客户端
3. 服务器接受到该公钥进行验证，就是验证2中证书，如果有问题，则HTTPS请求无法继续；如果没有问题，则上述公钥是合格的。（第一次HTTP请求）客户端这个时候随机生成一个私钥，成为client key,客户端私钥，用于对称加密数据的。使用前面的公钥对client key进行非对称加密；
4. 进行二次HTTP请求，将加密之后的client key传递给服务器；
5. 服务器使用私钥进行解密，得到client key,使用client key对数据进行对称加密
6. 将对称加密的数据传递给客户端，客户端使用非对称解密，得到服务器发送的数据，完成第二次HTTP请求。

• HTTPS协议多次握手，导致页面的加载时间延长近50%；
• HTTPS连接缓存不如HTTP高效，会增加数据开销和功耗；
• 申请SSL证书需要钱，功能越强大的证书费用越高。
• SSL涉及到的安全算法会消耗 CPU 资源，对服务器资源消耗较大。

• HTTPS是HTTP协议的安全版本，HTTP协议的数据传输是明文的，是不安全的，HTTPS使用了SSL/TLS协议进行了加密处理。
• http和https使用连接方式不同，默认端口也不一样，http是80，https是443。
• HTTPS请求的过程需要CA证书要验证身份以保证客户端请求到服务器端之后，传回的响应是来自于服务器端，而HTTP则不需要CA证书；