### HTTP與HTTPS
HTTP協議傳輸的數據都是未加密的,HTTPS協議是由HTTP+SSL協議構建的可進行加密傳輸、身份認證的網絡協議,要比HTTP協議安全。
**HTTPS和HTTP的區別**
- HTTPS協議須要到ca申請證書,通常免費證書較少,於是須要必定費用。
- HTTP是超文本傳輸協議,信息是明文傳輸,HTTPS則是具備安全性的SSL加密傳輸協議。
- HTTP和HTTPS使用的是徹底不一樣的鏈接方式,用的端口也不同,前者是80,後者是443。
- HTTP的鏈接很簡單,是無狀態的;HTTPS協議是由HTTP+SSL協議構建的可進行加密傳輸、身份認證的網絡協議,比HTTP協議安全。
### Cookie和Session
- **Cookie/Cookies: **是指某些網站爲了*辨別用戶身份*、*進行session跟蹤*而*儲存在用戶本地*終端上的數據(一般通過加密)。
- **Session:**服務端爲客戶端訪問所創建和維持的會話,一般會生成一個惟一的id,會話有必定的有效期。
因爲HTTP是無狀態的,即服務器不知道用戶上一次作了什麼,默認也沒法識別用戶身份。
比較流行的作法是:
- 用戶訪問時服務端創建會話(Session)
- 將會話id(Session ID)隨響應返回,並保存在客戶端的Cookies裏
- 後續的訪問中,服務器經過辨識,客戶端請求時攜帶的Cookies內容來識別用戶
**Cookie和Session的區別**
- cookie是存在客戶端(瀏覽器)的進程內存中和客戶端所在的機器硬盤上
- cookie只能可以存儲少許文本,大概4K大小
- cookie是不能在不一樣瀏覽器之間共享
- Session存在服務器端,存在網站進程的內存中
- Session在初次設置session的時候,會在session池中實例化一個session對象,以sessionid 的值做爲key,同時會將key以cookie的形式保存到客戶端的內存中
- Session的做用域只存在當前瀏覽器的會話中,當瀏覽器關閉之後就會將sessionid丟失,可是服務器的Session對象要20分鐘之後纔會回收
### 受權與加密
常見的接口安全策略:
1. Session/Cookie機制: 即須要登陸,登陸後可訪問各個接口,最經常使用的一種策略,適用於內部接口。
2. 固定appid模式: 用戶註冊時會生成一個惟一的appid,用戶調用接口時須要攜帶appid,適用於公開接口,安全性較差。
3. 動態token模式: token即身份令牌,用戶訪問接口須要使用我的appid臨時申請一個token,token有必定有效期,適用於公開接口,安全性較appid模式好。
4. 開放協議: Basic Auth/ Oauth1.0 / Oauth2.0: 適用於開放接口。
5. 數字簽名: 將全部請求參數及參數值進行排列拼接,加上用戶私鑰,再進行Md5或其餘加密生成一個請求的簽名(sign),請求是須要攜帶簽名,服務器收到請求後,web
會對請求從新計算簽名並覈實與請求所攜帶簽名是否一致。安全性較高,能夠有效防止請求被篡改。適用於內部接口及微服務接口。
**常見的加密算法**
在接口數據傳輸過程當中常對一些敏感數據(如密碼)進行Base64編碼或MD5加密,以增長安全性。
加密算法分爲對稱式加密算法和非對稱式加密算法,對稱式加解密使用同一個祕鑰,非對稱式使用不一樣的祕鑰。
- 對稱式加密
- DES: 數據加密標準,速度較快,適用於加密大量數據的場合
- AES: 高級加密標準,速度快,安全級別高
- 非對稱式加密
- RSA: 是一個支持變長密鑰的公共密鑰算法, 分公鑰和私鑰,