確保web安全的HTTPS

這裏有一份簡潔的前端知識體系等待你查收，看看吧，會有驚喜哦~若是以爲不錯，懇求star哈~

事物皆有兩面性，HTTP也有不足，好比：

• 通訊使用明文，內容可能被竊聽
• 不驗證通訊方的身份，可能被假裝
• 沒法證實報文的完整性，可能被篡改

爲了有效防止這些弊端，HTTPS就應運而生了。

HTTPS

開門見山吧，HTTPS = HTTP + 加密 + 認證 + 完整性保護

HTTPS究竟是如何實現的，這是咱們要重點關注的。

首先，HTTPS不是應用層的新協議。只是HTTP通訊接口部分用SSL和TLS協議代替而已。

一般，HTTP直接和TCP通訊，當使用SSL時，則演變成先和SSL通訊，再由SSL和TCP通訊了。簡言之，所謂HTTPS，就是身披SSL協議這層外殼的HTTP。

這裏不得不提一下SSL協議，他是獨立於HTTP的協議，因此其餘運行在應用層的協議均可以跟SSL配合使用。SSL是當今世界上應用最普遍的網絡安全技術。

在採用SSL後，HTTP就擁有了HTTPS加密、證書、完整性保護這些功能。

談談加密

共享密鑰加密

近代加密方法中加密算法是公開的，而密鑰是保密的，加密和解密都會用到密鑰，沒有密鑰就沒法對密碼解密。

加密和解密同用一個密鑰的方式稱爲共享密鑰加密（Common Key crypto system），也叫作對稱密鑰加密。

若是發生密鑰就有被竊聽的風險，但不發送，對方就不能解密，再說，密鑰若可以安全發送，那數據也應該能安全送達——這是矛盾的地方。

由於上述的矛盾，共享密鑰加密是不安全的。

公開密鑰加密技術

SSL採用一種叫作公開密鑰加密的加密處理方式。

公開密鑰加密使用一對非對稱的密鑰。一把叫作私有密鑰，一把叫作公開密鑰。私有密鑰保密，公開密鑰能夠隨意發佈，任何人均可以得到。發送密文的一方使用對方的公開密鑰進行加密處理。對方收到被加密的信息後，在使用本身的私有密鑰進行解密。無需發送私有密鑰，也就斷絕了被盜走的可能。

從上圖能夠看到，私有密鑰一直存在發送密文一方的服務器上，沒有發送到網絡中，因此就不會被竊聽。

但這樣作也是有侷限的，由於公開密鑰加密與私有密鑰加密相比，其處理速度要慢。

HTTPS採用混合加密機制

HTTPS採用共享密鑰和公開密鑰加密二者並用的混合加密機制。

在交換密鑰環節使用公開密鑰加密方式，以後的創建通訊交換報文階段則使用共享密鑰加密方式。

公開密鑰加密處理起來比共享密鑰加密方式更爲複雜，所以若在通訊時使用公開密鑰加密方式，效率就很低。

證實公開密鑰正確性的證書

HTTPS的加密機制看似很完美，但仍是存在一個致命的缺陷，那就是公開密鑰是放在網上的，使用者證實公開密鑰就是貨真價實的公開密鑰。

好比，正準備和某臺服務器創建公開密鑰加密方式的通訊時，如何證實收到的公開密鑰就是本來預想的那臺服務器發行的公開密鑰。或許在公開密鑰交換途中，真正的公開密鑰已經被攻擊者替換掉了。

數字證書認證機構

這就要藉助第三方機構了，並且這個機構，必須是你們都信任的，這就輪到數字證書認證機構上場。

服務器的運營人員向數字證書認證機構提出公開密鑰的申請，數字證書認證機構在判明提出申請者的身份後，會對已申請的公開密鑰作數字簽名，而後分配這個已簽名的公開密鑰，並將該公開密鑰放入公鑰證書後綁定在一塊兒。

接到證書的客戶端可以使用數字證書認證機構的公開密鑰，對那張證書上的數字簽名進行驗證，一旦驗證經過，客戶端能夠明確兩件事：

1、認證服務器的公開密鑰是真實有效的數字證書認證機構的。

2、服務器的公開密鑰是值的信賴的。

這樣以來，你就能夠放心使用HTTPS了。