您好,HTTP本身不会加密解密,但可以通过使用SSL(Secure Sockets Layer)或TLS(Transport Layer Security)协议来对HTTP通信进行加密和解密。这种加密通信的方式称为HTTPS(HTTP Secure)。
HTTPS使用SSL/TLS协议建立安全通信通道,通过加密技术保护数据的传输和存储。在HTTPS通信中,客户端和服务器之间的通信过程如下:
1. 客户端向服务器发起HTTPS请求,请求连接SSL/TLS加密通道。
2. 服务器返回证书,包含公钥和服务器信息。
3. 客户端验证证书的合法性,并使用服务器的公钥加密随机生成的对称密钥。
4. 服务器使用私钥解密客户端发送的密钥,建立对称密钥加密通信。
5. 客户端和服务器之间的通信过程中,数据通过对称密钥加密传输。
6. 通信结束后,客户端和服务器断开连接。
在进行HTTPS加密解密通信时,客户端和服务器都需要安装SSL/TLS证书,以便进行加密和解密操作。
重要的数据,要加密,用户名密码,即使被抓包监听,也不知道原始数据。 md5(不可逆),aes(可逆),自由组合
非重要数据,要签名,签名的目的是了防止篡改,比如http://www.xxx.com/getnews?id=1,获取id为1的新闻,如果不签名那么通过id=2,就可以获取2的内容等等。怎样签名呢?通常使用sign,比如原链接请求的时候加一个sign参数,sign=md5(id=1),服务器接受到请求,验证sign是否等于md5(id=1),如果等于说明正常请求。这会有个弊端,假如规则被发现,那么就会被伪造,所以适当复杂一些,还是能够提高安全性的。
