這段話隨便看看就好了，除了文字能看懂，其他的咱也看不懂，嗐

Http(HTTP-Hypertexttransferprotocol)是一個簡單的請求-響應(yīng)協(xié)議，它通常運行在TCP之上。它指定了客戶端可能發(fā)送給服務(wù)器什么樣的消息以及得到什么樣的響應(yīng)。請求和響應(yīng)消息的頭以ASCII碼形式給出；而消息內(nèi)容則具有一個類似MIME的格式。這個簡單模型是早期Web成功的有功之臣，因為它使開發(fā)和部署非常地直截了當(dāng)。

Https（全稱：HyperTextTransferProtocoloverSecureSocketLayer），是以安全為目標的HTTP通道，在HTTP的基礎(chǔ)上通過傳輸加密和身份認證保證了傳輸過程的安全性。HTTPS在HTTP的基礎(chǔ)下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細內(nèi)容就需要SSL。HTTPS存在不同于HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統(tǒng)提供了身份驗證與加密通訊***。它被廣泛用于萬維網(wǎng)上安全敏感的通訊，例如交易支付等方面。

Http是超文本傳輸協(xié)議，數(shù)據(jù)明文傳輸，所以會被抓包導(dǎo)致信息泄露，有安全風(fēng)險問題！Https則是具有安全性的SSL加密傳輸協(xié)議。Http和Https使用的是完全不同的連接方式用的端口也不一樣,前者是80,后者是443。Http的連接很簡單,是無狀態(tài)的。HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進行加密傳輸、身份認證的網(wǎng)絡(luò)協(xié)議。Https協(xié)議需要到CA付費申請證書,

HTTP是應(yīng)用層協(xié)議，同其他應(yīng)用層協(xié)議一樣，是為了實現(xiàn)某一類具體應(yīng)用的協(xié)議，并由某一運行在用戶空間的應(yīng)用程序來實現(xiàn)其功能。HTTP是一種協(xié)議規(guī)范，這種規(guī)范記錄在文檔上，為真正通過HTTP協(xié)議進行通信的HTTP的實現(xiàn)程序。HTTP是一種無狀態(tài)協(xié)議，即服務(wù)器不保留與客戶交易時的任何狀態(tài)。這就大大減輕了服務(wù)器記憶負擔(dān)，從而保持較快的響應(yīng)速度。HTTP是一種面向?qū)ο蟮膮f(xié)議。允許傳送任意類型的數(shù)據(jù)對象。它通過數(shù)據(jù)類型和長度來標識所傳送的數(shù)據(jù)內(nèi)容和大小，并允許對數(shù)據(jù)進行壓縮傳送。當(dāng)用戶在一個HTML文檔中定義了一個超文本鏈后，瀏覽器將通過TCP/IP協(xié)議與指定的服務(wù)器建立連接。

上面概述其實是很廢話的，忽略吧！！！

上圖是Http的工作流程圖，Https會在Tcp首部這一層前加上安全層（SSL/TSL）加解密Http報文注：TLS是SSL的升級替代版，具體發(fā)展歷史可以參考傳輸層安全性協(xié)議。

Https協(xié)議因為采用密文傳輸，要比Http協(xié)議安全。

采用https的server必須從CA申請一個用于證明服務(wù)器用途類型的證書.改證書只有用于對應(yīng)的server的時候，客戶度才信任次主機。所以目前所有的銀行系統(tǒng)網(wǎng)站,關(guān)鍵部分應(yīng)用都是https的。客戶通過信任該證書，從而信任了該主機。其實這樣做效率很低，但是銀行更側(cè)重安全。這一點對我們沒有任何意義，我們的server采用的證書不管自己issue還是從公眾的地方issue，客戶端都是自己人，所以我們也就肯定信任該server。

HTTPS在HTTP與TCP層之間加入了SSL/TLS協(xié)議，可以很好的解決了上述的風(fēng)險：

信息加密：交互信息無法被竊取，但你的號會因為「自身忘記」賬號而沒。校驗機制：無法篡改通信內(nèi)容，篡改了就不能正常顯示，但百度「競價排名」依然可以搜索垃圾廣告。***書：證明淘寶是真的淘寶網(wǎng)，但你的錢還是會因為「剁手」而沒。

可見，只要自身不做「惡」，SSL/TLS協(xié)議是能保證通信是安全的。

作者：BuildF鏈接：https://juejin.cn/post/6904227431939342344