HTTP和HTTPS
HTTP —— 超文本传输协议资源
Http协议是一个基于请求与响应模式的、无状态的、应用层的协议。
请求与响应模式:只有在客户端请求后,服务器才会返回相应的数据给客户端。服务器处理完客户的请求,并收到客户的应答后,即断开连接。
无状态协议:同一个客户端的这次请求和上次请求是没有对应关系,对http服务器来说,它并不知道这两个请求来自同一个客户端。 为了解决这个问题, Web程序引入了Cookie机制来维护状态。
在Http/1.1使用了持续连接:就是万维网服务器在发送响应后仍会在一段时间内保持这条连接,使同一个客户和该服务器可以继续在这条连接上传送后续的HTTP请求报文和响应报文。这种持续连接有两种工作方式:非流水线方式和流水线方式。
非流水线方式:是客户在收到前一个响应后才能发出下一个请求。
流水线方式:是客户在收到Http的响应报文之前就能够接着发送新的请求报文。
HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。
为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL/TLS协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
HTTPS——用安全套接字层传送的超文本传输协议,简单讲是HTTP的安全版
https是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL/TLS层,然后才进入到运输层传输,HTTPS的安全基础是SSL/TLS,因此加密的详细内容就需要SSL/TLS。
HTTPS和HTTP的区别主要如下:
1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。
2、http是超文本传输协议,信息是明文传输,https则是具有安全性的SSL/TLS加密传输协议。
3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
4、http的连接很简单,是无状态的;https协议是由SSL/TLS + HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
SSL/TLS
SSL:(Secure Socket Layer,安全套接字层),为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性。TLS 1.0建立在SSL 3.0协议规范之上,是SSL 3.0的后续版本,可以理解为SSL 3.1,它是写入了RFC的。该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。较低的层为 TLS 记录协议,位于某个可靠的传输协议(例如 TCP)上面。
http的请求与响应
状态码
Response 消息中的第一行叫做状态行,由HTTP协议版本号, 状态码, 状态消息
三部分组成。状态码用来告诉HTTP客户端,HTTP服务器是否产生了预期的Response.HTTP/1.1中定义了5类状态码,
状态码由三位数字组成,第一个数字定义了响应的类别
1XX 提示信息 - 表示请求已被成功接收,继续处理
2XX 成功 - 表示请求已被成功接收,理解,接受
3XX 重定向 - 要完成请求必须进行更进一步的处理
4XX 客户端错误 - 请求有语法错误或请求无法实现
5XX 服务器端错误 - 服务器未能实现合法的请求
URL解析
URL(Uniform Resource Locator,统一资源定位符) 地址用于描述一个网络上的资源, 基本格式如下
schema://host[:port#]/path/.../[?query-string][#anchor]
scheme指定低层使用的协议(例如:http, https, ftp)
hostHTTP服务器的IP地址或者域名
port#HTTP服务器的默认端口是80,这种情况下端口号可以省略。
如果使用了别的端口,必须指明,例如 http://www.cnblogs.com:8080/
path访问资源的路径
query-string发送给http服务器的数据
anchor-锚
URL 的一个例子
http://www.mywebsite.com/sj/test/test.aspx?name=sviergn&x=true#stuff
Schema: http
host: www.mywebsite.com
path: /sj/test/test.aspx
Query String: name=sviergn&x=true
Anchor: stuff
iOS如何利用AFN进行HTTPS请求
1、需要的资源:服务器端.cer证书,客户端.p12证书及密码
2、新建一个类:继承自AFHTTPSessionManager,需要设置一下AFSecurityPolicy,把模式设置为AFSSLPinningModeCertificate
// 使用证书验证模式
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
// allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO,如果是需要验证自建证书,需要设置为YES
securityPolicy.allowInvalidCertificates = YES;
为了实现客户端验证,必须调用setSessionDidReceiveAuthenticationChallengeBlock并替换AFNetworking的默认实现,其中包括从client.p12里解析客户端证书。
http和https参考自:http://www.cnblogs.com/li0803/archive/2008/11/03/1324746.html
