图解HTTPS协议加密解密全过程

HTTPS即加密的HTTP，HTTPS并不是一个新协议，而是HTTP+SSL（TLS）。原本HTTP先和TCP（假定传输层是TCP协议）直接通信，而加了SSL后，就变成HTTP先和SSL通信，再由SSL和TCP通信，相当于SSL被嵌在了HTTP和TCP之间。

我们首先了解几个基本概念。

共享密钥加密（对称密钥加密） ：加密和解密同用一个密钥。加密时就必须将密钥传送给对方，那么如何安全的传输呢？

公开密钥加密（非对称密钥加密） ：公开密钥加密使用一对非对称的密钥。一把叫做私有密钥，一把叫做公开密钥。私有密钥不能让其他任何人知道，而公开密钥则可以随意发布，任何人都可以获得。使用此加密方式，发送密文的一方使用公开密钥进行加密处理，对方收到被加密的信息后，再使用自己的私有密钥进行解密。利用这种方式，不需要发送用来解密的私有密钥，也不必担心密钥被攻击者窃听盗走。

但由于公开密钥比共享密钥要慢，所以我们就需要综合一下他们两者的优缺点，使他们共同使用，而这也是HTTPS采用的加密方式。 在交换密钥阶段使用公开密钥加密方式，之后建立通信交换报文阶段则使用共享密钥加密方式。

这里就有一个问题，如何证明公开密钥本省是货真价实的公开密钥。如，正准备和某台服务器建立公开密钥加密方式下的通信时，如何证明收到的公开密钥就是原本预想的那台服务器发行的公开密钥。或许在公开密钥传输过程中，真正的公开密钥已经被攻击者替换掉了。为了解决这个问题，可以使用由数字证书认证机构（CA，Certificate Authority）和其他相关机关颁发的公开密钥证书。

下图是https通信步骤图：

下面是详细步骤：

步骤 1： 客户端通过发送 Client Hello 报文开始 SSL 通信。报文中包

含客户端支持的 SSL 的指定版本、加密组件（Cipher Suite）列表（所

使用的加密算法及密钥长度等）。

步骤 2： 服务器可进行 SSL 通信时，会以 Server Hello 报文作为应

答。和客户端一样，在报文中包含 SSL 版本以及加密组件。服务器的

加密组件内容是从接收到的客户端加密组件内筛选出来的。

步骤 3： 之后服务器发送 Certificate 报文。报文中包含公开密钥证

书。

步骤 4： 最后服务器发送 Server Hello Done 报文通知客户端，最初阶

段的 SSL 握手协商部分结束。

步骤 5： SSL 第一次握手结束之后，客户端以 Client Key Exchange 报

文作为回应。报文中包含通信加密中使用的一种被称为 Pre-master

secret 的随机密码串。该报文已用步骤 3 中的公开密钥进行加密。

步骤 6： 接着客户端继续发送 Change Cipher Spec 报文。该报文会提

示服务器，在此报文之后的通信会采用 Pre-master secret 密钥加密。

步骤 7： 客户端发送 Finished 报文。该报文包含连接至今全部报文的

整体校验值。这次握手协商是否能够成功，要以服务器是否能够正确

解密该报文作为判定标准。

步骤 8： 服务器同样发送 Change Cipher Spec 报文。

步骤 9： 服务器同样发送 Finished 报文。

步骤 10： 服务器和客户端的 Finished 报文交换完毕之后，SSL 连接

就算建立完成。当然，通信会受到 SSL 的保护。从此处开始进行应用

层协议的通信，即发送 HTTP 请求。

步骤 11： 应用层协议通信，即发送 HTTP 响应。

步骤 12： 最后由客户端断开连接。断开连接时，发送 close_notify 报

文。上图做了一些省略，这步之后再发送 TCP FIN 报文来关闭与 TCP

的通信。

在以上流程中，应用层发送数据时会附加一种叫做MAC（Message Authentication Cods）的报文摘要。MAC能够查知报文是否遭到篡改从，从而保护报文的完整性。

维基百科：HTTP

一个HTTP请求报文由请求行（request line）、请求头部（header）、空行和请求数据4个部分组成。

大致结构是这样的：

一个简单的例子：

请求行由三部分组成：请求方法，请求URL（不包括域名），HTTP协议版本

请求方法比较多：GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT

最常用的是GET和POST。

1） GET

传递参数长度受限制，因为传递的参数是直接表示在地址栏中，而特定浏览器和服务器对url的长度是有限制的。

因此，GET不适合用来传递私密数据，也不适合拿来传递大量数据。

一般的HTTP请求大多都是GET。

2）POST

POST把传递的数据封装在HTTP请求数据中，以名称/值的形式出现，可以传输大量数据，对数据量没有限制，也不会显示在URL中。

表单的提交用的是POST。

3）HEAD

HEAD跟GET相似，不过服务端接收到HEAD请求时只返回响应头，不发送响应内容。所以，如果只需要查看某个页面的状态时，用HEAD更高效，因为省去了传输页面内容的时间。

4）DELETE

删除某一个资源。

5）OPTIONS

用于获取当前URL所支持的方法。若请求成功，会在HTTP头中包含一个名为“Allow”的头，值是所支持的方法，如“GET, POST”。

6）PUT

把一个资源存放在指定的位置上。

本质上来讲， PUT和POST极为相似，都是向服务器发送数据，但它们之间有一个重要区别，PUT通常指定了资源的存放位置，而POST则没有，POST的数据存放位置由服务器自己决定。

关于POST和PUT的区别以及请求方法的幂等性，请参考文章： http的7种请求方法和幂等性

7）TRACE

回显服务器收到的请求，主要用于测试或诊断。

8）CONNECT

CONNECT方法是HTTP/1.1协议预留的，能够将连接改为管道方式的代理服务器。通常用于 SSL 加密服务器的链接与非加密的HTTP代理服务器的通信。

 

1）HTTP/1.0

HTTP/1.0支持：GET、POST、HEAD三种HTTP请求方法。

2）HTTP/1.1

HTTP/1.1是当前正在使用的版本。该版本默认采用持久连接，并能很好地配合代理服务器工作。还支持以管道方式同时发送多个请求，以便降低线路负载，提高传输速度。

HTTP/1.1新增了：OPTIONS、PUT、DELETE、TRACE、CONNECT五种HTTP请求方法。

 

请求头部由关键字/值对组成，每行一对

常见的Content-Type：

 

multipart/form-data

用以支持向服务器发送二进制数据，以便可以在 POST 请求中实现文件上传等功能

现在用Postman向百度发送一个请求方式为 multipart/form-data 的POST包，请求报文是这样的：

其中， boundary这个参数是分界线的意思，这个分界线参数具体是什么你可以随意自定义 ，建议定义复杂一点，因为这样子才不会跟请求体中其它字段重复。

上面的例子看出分界线=“--”+boundary

每个参数都由分界线分隔开，参数名（二进制数据还需要指明文件类型）和参数值之间有一行 空行 ，这个空行不能省略:

消息主体最后以 --boundary-- 标示结束。

更加详细的解释可以参考： Multipart/form-data

请求头之后是一个空行，通知服务器以下不再有请求头

GET没有请求数据，POST有。

与请求数据相关的最常使用的请求头是 Content-Type 和 Content-Length 。

HTTP响应报文和请求报文的结构差不多，也是由四个部分组成：

状态行也由三部分组成：服务器HTTP协议版本，响应状态码，状态码的文本描述

格式：HTTP-Version Status-Code Reason-Phrase CRLF

比如：HTTP/1.1 200 OK

状态码：由3位数字组成，第一个数字定义了响应的类别

用304告诉缓存器资源没有被修改，并且响应体是空的，不会浪费带宽。

---