3.确保web安全的HTTPS&用户的身份认证

HTTP的缺点

• 通信使用明文（不加密），内容可能会被窃听 不验证通信方的身份，因此有可能遭遇伪装 无法证明报文的完整性，所以有可能已遭篡改

TCP/IP 是可能被窃听的网络

• 按 TCP/IP 协议族的工作机制，通信内容在所有的通信线路上都有 可能遭到窥视。
• 即使已经过加密处理的通信，也会被窥视到通信内容，这点和未 加密的通信是相同的。只是说如果通信经过加密，就有可能让人 无法破解报文信息的含义

加密处理防止被窃听

• 一种方式就是将通信加密。HTTP 协议中没有加密机制，但可以通过和 SSL（Secure Socket Layer，安全套接层）或 TLS（Transport Layer Security，安全层传输协议）的组合使用。与 SSL组合使用的 HTTP 被称为 HTTPS（HTTP Secure，超文本传输安全协议）或 HTTP over SSL
• 内容的加密，还有一种将参与通信的内容本身加密的方式，即把 HTTP 报文里所含的内容进行加密处理。

HTTP 协议中的请求和响应不会对通信方进行确认

• 在 HTTP 协议通信时，由于不存在确认通信方的处理步骤，任何 人都可以发起请求。服务器只要接收到请求，不管对方是 谁都会返回一个响应
• 有可能是已伪装的 Web 服务 器。
• 有可能是已伪装的客户端。
• 无法确定正在通信的对方是否具备访问权限。
• 即使是无意义的请求也会照单全收。无法阻止海量请求 下的 DoS 攻击

DoS攻击(拒绝服务)是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。【DDOS是DOS攻击中的一种方法。】

• 查明对手的证书。虽然使用 HTTP 协议无法确定通信方，但如果使用 SSL则可以。 SSL不仅提供加密处理，而且还使用了一种被称为证书的手段， 可用于确定方。

无法证明报文完整性，可能已遭篡改

• 接收到的内容可能有误。比如，从某个 Web 网站上下载内容，是无法确定客户端下载的 文件和服务器上存放的文件是否前后一致的。文件内容在传输途 中可能已经被篡改为其他的内容。
• 如何防止篡改。为了有效防止这些弊端，有必要使用 HTTPS。SSL提供认证和加 密处理及摘要功能。

HTTPS

HTTP 加上加密处理和认证以及完整性保护后即是 HTTPS

HTTPS 是身披 SSL 外壳的 HTTP

• SSL是独立于 HTTP 的协议，所以不光是 HTTP 协议，其他运行在应 用层的 SMTP 和 Telnet 等协议均可配合 SSL协议使用。可以说 SSL是 当今世界上应用最为广泛的网络安全技术

相互交换密钥的公开密钥加密技术

• 共享密钥加密
• 使用两把密钥的公开密钥加密 共有/私有

HTTPS 采用混合加密机制