和我一起学《HTTP权威指南》——安全HTTP与HTTPS

安全HTTP

HTTPS是最流行的HTTP安全形式。

HTTPS方案的URL以https://开头

使用HTTPS时,所有的HTTP请求和响应数据在发送到网络之前,都要进行加密。HTTPS在HTTP传输层下面提供了一个传输级的密码安全层(可使用SSL或TLS)

数字加密

对称密钥加密技术

编码和解码使用的密钥值一样(密钥k)

发送端和接收端共享相同的密钥k才能进行通信。

缺点:发送者和接收者在互相对话前,一定要有一个共享的保密密钥。

公开密钥加密技术

使用两个非对称密钥:一个对主机报文编码,另一个对主机报文解码。
编码密钥是公开的(所以叫公开密钥加密),解码密钥是保密的,只有接收端才能对报文进行解码。

RSA算法

公开密钥非对称加密系统的关键:

确保有人拥有下面所有的线索,也无法计算出保密的私有密钥

  • 公开密钥(公开的,所有人都可获得)
  • 一小片拦截下来的密文
  • 一条报文和与之相关的密文

RSA算法就是一个满足所有这些条件的流行的公开密钥加密系统。

数字签名

数字签名(digital signing):用加密系统对报文进行签名,说明是谁编写的报文,以证明报文未被篡改过。

数字签名是附加在报文上的特殊加密校验码

好处:

  • 证明是作者编写了这条报文
  • 防止报文被篡改

通过非对称公开密钥技术产生。只有所有者知道其私有密钥,可将私有密钥作为指纹使用。

数字证书

数字证书(certs)中包含由某个受信任组织担保的用户或公司的相关信息。

上图就是由DigiCert组织签发给Github的数字证书

上图是12306在Chrome浏览器上浏览,可看出虽然使用了HTTPS,但是是由不受信任的签发者签名的数字证书

用证书对服务器进行认证

通过HTTPS建立一个安全Web事务之后,浏览器自动获取所连接服务器的数字证书。

HTTPS 细节介绍

HTTPS概述

HTTPS就是安全的传输层上发送的HTTP。在安全层对报文进行加密。

HTTP安全层是通过SSL或TLS实现的。

HTTP的URL由http://起始,默认端口80,HTTPS的默认端口是443。

建立安全传输

HTTP:客户端建立到服务器80端口的TCP连接,发送一条请求报文,接收一条响应报文,关闭连接。

HTTPS:客户端打开一条道服务器443端口的连接,建立TCP连接,客户端和服务器初始化SSL层,沟通加密参数,交换密钥。SSL初始化完成后,客户端就可将请求报文加密后发送给安全层。

SSL握手

发送加密的HTTP报文之前,客户端和服务器要进行一次SSL握手

下面是我用Java代码实现的打开https://www.github.com12306购票网站https://kyfw.12306.cn/otn/leftTicket/init的Demo代码:

import javax.net.ssl.*;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.net.Socket;
import java.net.URL;
import java.security.KeyManagementException;
import java.security.NoSuchAlgorithmException;
import java.security.PublicKey;
import java.security.cert.Certificate;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

/**
 * Created by JohnTsai on 16/2/23.
 */
public class HTTPSDemo {
  /**
     * 必须先进行SSL握手,再打开HttpsURLConnection
     * http://stackoverflow.com/questions/9568100/exception-when-printing-the-server-certificate-details
     */
    public static void openHttpsURL(String urlString) {
        TrustManager[] trustManagers = new TrustManager[]{
                new X509TrustManager() {
                    @Override
                    public void checkClientTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {

                    }

                    @Override
                    public void checkServerTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {

                    }

                    @Override
                    public X509Certificate[] getAcceptedIssuers() {
                        return new X509Certificate[0];
                    }
                }
        };

        try {
            SSLContext sslContext = SSLContext.getInstance("SSL");
            sslContext.init(null, trustManagers, new java.security.SecureRandom());
            HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory());
        } catch (NoSuchAlgorithmException | KeyManagementException e) {
            e.printStackTrace();
        }

        URL url = null;
        try {
            url = new URL(urlString);
            //建立HTTPS connection
            HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
            connection.setDoInput(true);
            connection.setRequestMethod("GET");
            connection.connect();

            if(connection.getResponseCode()==200){
                System.out.println(urlString+"打开成功");
            }
            printHttpsConnCert(connection);
            printHttpsConn(connection);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

    public static void printHttpsConnCert(HttpsURLConnection conn) {
        if (conn == null) return;
        try {
            //连接所使用的密码程序
            String cipherSuite = conn.getCipherSuite();
            //服务器端的证书链
            Certificate[] serverCertificates = conn.getServerCertificates();
            System.out.println("密码程序:" + cipherSuite);

            for (Certificate certificate : serverCertificates) {
                String type = certificate.getType();
                PublicKey publicKey = certificate.getPublicKey();
                System.out.println("证书类型:" + type + "\n" + "公钥算法:" + publicKey.getAlgorithm()
                        + "\n" + "公钥:" + publicKey.getFormat());
            }
        } catch (SSLPeerUnverifiedException e) {
            e.printStackTrace();
        }
    }

    public static void printHttpsConn(HttpsURLConnection conn) {
        if (conn == null) return;
        try {
            BufferedReader br =
                    new BufferedReader(
                            new InputStreamReader(conn.getInputStream()));
            String output = "";
            while (br.readLine() != null) {
                output += br.readLine();
            }
            br.close();
            System.out.println(conn.getURL().getHost() + "的内容\n" + output);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

    public static void main(String[] args) {
        openHttpsURL("https://www.github.com");
        openHttpsURL("https://kyfw.12306.cn/otn/leftTicket/init");
    }

}

运行结果:

原文地址:http://www.cnblogs.com/JohnTsai/p/5209953.html

时间: 2024-11-08 19:13:19

和我一起学《HTTP权威指南》——安全HTTP与HTTPS的相关文章

《逆向工程权威指南》目录—导读

版权 逆向工程权威指南 • 著 [乌克兰] Dennis Yurichev 译 Archer 安天安全研究与应急处理中心 责任编辑 陈冀康 • 人民邮电出版社出版发行 北京市丰台区成寿寺路11号 邮编 100164 电子邮件 315@ptpress.com.cn 网址 http://www.ptpress.com.cn • 读者服务热线:(010)81055410 反盗版热线:(010)81055315 版权声明 逆向工程权威指南 Simplified Chinese translation c

Ansible权威指南.

Linux/Unix技术丛书 Ansible权威指南 李松涛 魏 巍 甘 捷 著 图书在版编目(CIP)数据 Ansible权威指南 / 李松涛,魏巍,甘捷著. -北京:机械工业出版社,2016.11 (Linux/Unix技术丛书) ISBN 978-7-111-55329-8 I. A- II. ①李- ②魏- ③甘- III. 程序开发工具-指南 IV. TP311.561-62 中国版本图书馆CIP数据核字(2016)第258615号 Ansible权威指南 出版发行:机械工业出版社(北

《ELK Stack权威指南 》第2章 插件配置

本节书摘来自华章出版社<ELK Stack权威指南 >一书中的第1章,第2节,作者饶琛琳,更多章节内容可以访问"华章计算机"公众号查看. 插 件 配 置 插件是Logstash最大的特色.各种不同的插件源源不断地被创造出来,发布到社区中供大家使用.本章会按照插件的类别,对一般场景下的一些常用插件做详细的配置和用例介绍.本章介绍的插件包括:1)输入插件.基于shipper端场景,主要介绍STDIN.TCP.File等插件.2)编解码插件.编解码通常是会被遗忘的环节,但是运用好

《Netty 权威指南》—— 选择Netty的理由

声明:本文是<Netty 权威指南>的样章,感谢博文视点授权并发编程网站发布样章,禁止以任何形式转载此文. 在开始本节之前,我先讲一个亲身经历的故事:曾经有两个项目组同时用到了NIO编程技术,一个项目组选择自己开发NIO服务端,直接使用JDK原生的API,结果2个多月过去了,他们的NIO服务端始终无法稳定,问题频出.由于NIO通信是它们的核心组件之一,因此,项目的进度受到了严重的影响,领导对此非常恼火.另一个项目组直接使用Netty作为NIO服务端,业务的定制开发工作量非常小,测试表明,功能和

《软件测试高薪之路:UFT/QTP 面试权威指南》目录—导读

版权 软件测试高薪之路:UFT/QTP 面试权威指南 • 著 [印度] Tarun Lalwani 译 吴 鑫 杜 翔 赵旭斌 责任编辑 张 涛 • 人民邮电出版社出版发行 北京市丰台区成寿寺路11号 邮编 100164 电子邮件 315@ptpress.com.cn 网址 http://www.ptpress.com.cn • 读者服务热线:(010)81055410 反盗版热线:(010)81055315 版权声明 Simplified Chinese translation copyrig

《HBase权威指南》一导读

前 言 HBase权威指南 你阅读本书的理由可能有很多.可能是因为听说了Hadoop,并了解到它能够在合理的时间范围内处理PB级的数据,在研读Hadoop的过程中发现了一个处理随机读写的系统,它叫做HBase.或者将其称为目前流行的一种新的数据存储架构,传统数据库解决大数据问题时成本更高,更适合的技术范围是NoSQL. 无论你是如何来到这里的,我都希望你能够了解并学习如何在企业或组织中使用HBase解决海量数据问题.你可能有关系型数据库的背景,但更希望去研究这个"列式存储"系统:也许你

《QTP自动化测试权威指南(第二版)》目录—导读

内容提要 QTP自动化测试权威指南(第二版) 本书是QTP测试的权威指南,展示了作者在软件测试方面的造诣.本书分为基础知识和高级技巧两个部分.第1章-第18章是基础知识篇,介绍了QTP的基本功能.第1章自动化测试流程,第2章QTP帮助文档的使用,第3章对象库,第4章数据池,第5章操作模块(Action),第6章QTP环境变量,第7章保留对象,第8章检查点,第9章库函数文件.第10章描述性编程,第11章QTP的调试功能,第12章场景恢复,第13章正则表达式,第14章VBScript,第15章同步点

《Ext JS权威指南》——1.1节学习Ext JS必需的基础知识

1.1 学习Ext JS必需的基础知识 1. JavaScript 嗯,这个还用说吗?Ext JS本来就是一个JavaScript的框架,而且使用Ext JS就需要使用JavaScript语法来开发,需要JavaScript的知识是必然的了.问题的关键是,开发人员对JavaScript知识的掌握也有深浅之分.譬如,我碰到一些开发人员,对JavaScript算是很熟悉了,但是不会JSON,不会直接使用JSON对象,在使用Ext JS的过程中,需要使用JSON对象的时候,居然是通过组装字符串的方式,

《软件测试高薪之路:UFT/QTP 面试权威指南》—故事的开始

故事的开始(2013年1月) 软件测试高薪之路:UFT/QTP 面试权威指南 我乘坐的航班大约在上午11:00顺利抵达位于印度西部的普纳机场.QueenFisher航空很少晚点,一直以来是我的心头所爱.路途的奔波让我身心疲惫,此时我最想做的事就是赶紧取到行李,马不停蹄地回到温暖的家中.可事与愿违,由于传送带机械故障,我不得不又眼巴巴地多等了40分钟,最终,我拿到了行李,搭上了预约的出租车,飞驰回家. 正所谓福不双至,祸不单行,老天又跟我开了一个玩笑,突然毫无征兆地下起倾盆大雨,往往坏天气总与严重

《软件测试高薪之路:UFT/QTP 面试权威指南》—两周前

两周前软件测试高薪之路:UFT/QTP 面试权威指南俗话说,一日之计在于晨,一周之计在周一.对于我来说,周一常常与繁重的项目相伴,再加上还没从休闲的周末中调整过来,周一真的没那么可爱.不过,那天例外,一大早我就听到一个好消息,我为之奋斗了无数个周末与加班日的项目已经顺利验收通过,这一刻,我觉得所有的付出都是值得的,我仿佛看到了客户投来的满意.肯定的目光,闭上眼,耳边似乎响起了大家赞许的掌声,终于,我感到难得的轻松与惬意.一直以来,我始终处于高强度.大压力.版本更新频繁的工作环境中,需求总是在变化