http和https

我是一名iOS开发人员，开发过程中经常会遇到网络相关的问题。比如对网络状态的监控，域名替换，https证书认证...
虽然网络的绝大部分处理过程在后端，但是作为直接要与后台打交道的位置，了解一下网络协议是事关重要的。

网络请求中最常用到的协议就是http和https，我接下来会着重介绍一下这个两个协议的特点、区别和联系。

一、http

HTTP是Hyper Text Transfer Protocol（超文本传输协议）的缩写。

HTTP是一个应用层协议，由请求和响应构成，是一个标准的客户端服务器模型。它还是一个无状态的协议（同一个客户端的这次请求和上次请求是没有对应关系）。
端口号为80。

http的请求响应模型

HTTP协议永远都是客户端发起请求，服务器回送响应。见下图：

请求模型

这样就限制了使用HTTP协议，无法实现在客户端没有发起请求的时候，服务器将消息推送给客户端。

http请求

HTTP请求是客户端往服务端发送请求动作，告知服务器自己的要求。

HTTP请求由状态行、请求头、请求正文三部分组成：
状态行：包括请求方式Method、资源路径URL、协议版本Version；
请求头：包括一些访问的域名、用户代理、Cookie等信息；
请求正文：就是HTTP请求的数据。

备注：请求方式Method一般有GET、POST、PUT、DELETE，含义分别是获取、修改、上传、删除，对应增删改查。
其中GET方式为“查”，可省略请求正文。

下图所示为POST请求的格式，有状态行、请求头、请求正文三部分。

http请求

http响应

服务器收到了客户端发来的HTTP请求后，根据HTTP请求中的动作要求，服务端做出具体的动作，将结果回应给客户端，称为HTTP响应。

HTTP响应由三部分组成：状态行、响应头、响应正文：
状态行：包括协议版本Version、状态码Status Code、回应短语；
响应头：包括搭建服务器的软件，发送响应的时间，回应数据的格式等信息；
响应正文：就是响应的具体数据。

具体HTTP响应实例如下图：

http响应

http常用请求头、响应头

通用首部字段（请求报文与响应报文都会使用的首部字段）
    Date：创建报文时间
    Connection：连接的管理
    Cache-Control：缓存的控制
    Transfer-Encoding：报文主体的传输编码方式

请求首部字段（请求报文会使用的首部字段）
    Host：请求资源所在服务器
    Accept：可处理的媒体类型
    Accept-Charset：可接收的字符集
    Accept-Encoding：可接受的内容编码
    Accept-Language：可接受的自然语言

响应首部字段（响应报文会使用的首部字段）
    Accept-Ranges：可接受的字节范围
    Location：令客户端重新定向到的URI
    Server：HTTP服务器的安装信息

实体首部字段（请求报文与响应报文的的实体部分使用的首部字段）
    Allow：资源可支持的HTTP方法
    Content-Type：实体主类的类型
    Content-Encoding：实体主体适用的编码方式
    Content-Language：实体主体的自然语言
    Content-Length：实体主体的的字节数
    Content-Range：实体主体的位置范围，一般用于发出部分请求时使用

http状态码

常用的有以下几种：

200：请求被正常处理
204：请求被受理但没有资源可以返回
206：客户端只是请求资源的一部分，服务器只对请求的部分资源执行GET方法，相应报文中通过Content-Range指定范围的资源。
301：永久性重定向
302：临时重定向
303：与302状态码有相似功能，只是它希望客户端在请求一个URI的时候，能通过GET方法重定向到另一个URI上
304：发送附带条件的请求时，条件不满足时返回，与重定向无关
307：临时重定向，与302类似，只是强制要求使用POST方法
400：请求报文语法有误，服务器无法识别
401：请求需要认证
403：请求的对应资源禁止被访问
404：服务器无法找到对应资源
500：服务器内部错误
503：服务器正忙

一般来说，我们可以这样分类

状态码	请求结果
1xx	表示HTTP请求已经接受，继续处理请求
2xx	表示HTTP请求已经处理完成
3xx	表示把请求访问的URL重定向到其他目录
4xx	表示客户端出现错误
5xx	表示服务端出现错误

完整版的我就不贴出来了，链接自取：百度百科状态码

二、https

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息，HTTP协议以明文方式发送内容，不提供任何方式的数据加密。
因此，HTTP协议不适合传输一些敏感信息，比如：信用卡号、密码等支付信息。

为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS，为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

所以HTTPS可以简单地理解为：HTTP+SSL，即在会话层（应用层）加入SSL协议。
端口是443。

https作用

建立一个信息安全通道，来保证数据传输的安全；
确认网站的真实性，凡是使用了 https 的网站，都可以通过点击浏览器地址栏的锁头标志来查看网站认证之后的真实信息，也可以通过 CA 机构颁发的安全签章来查询；

https优点

尽管HTTPS并非绝对安全，掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击，但HTTPS仍是现行架构下最安全的解决方案，主要有以下几个好处：

• 使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器；

• HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。

• HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。

• 谷歌曾在2014年8月份调整搜索引擎算法，并称“比起同等HTTP网站，采用HTTPS加密的网站在搜索结果中的排名将会更高”。

https缺点

虽然说HTTPS有很大的优势，但其相对来说，还是存在不足之处的：

• HTTPS协议握手阶段比较费时，会使页面的加载时间延长近50%，增加10%到20%的耗电；

• HTTPS连接缓存不如HTTP高效，会增加数据开销和功耗，甚至已有的安全措施也会因此而受到影响；

• SSL证书需要钱，功能越强大的证书费用越高，个人网站、小网站没有必要一般不会用。

• SSL证书通常需要绑定IP，不能在同一IP上绑定多个域名，IPv4资源不可能支撑这个消耗。

• HTTPS协议的加密范围也比较有限，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的，SSL证书的信用链体系并不安全，特别是在某些国家可以控制CA根证书的情况下，中间人攻击一样可行。

http、https对比

HTTPS和HTTP的区别主要如下：

• https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。

• http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。

• http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

• http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

• http协议运行在TCP之上，https是运行在SSL/TLS之上的HTTP协议，SSL/TLS运行在TCP之上。