【Java ee初阶】HTTP（4）

构造HTTP请求

1）开发中，前后端交互。浏览器运行的网页中，构造出HTTP请求

2）调试阶段，通过构造HTTP请求测试服务器

朴素的方案：

通过tcp socket 的方式构造HTTP请求

按照HTTP请求格式，往TCP socket中写入字符串，就能够构造出HTTP请求

package HttpFile;import java.io.IOException;
import java.io.InputStream;
import java.io.OutputStream;
import java.net.Socket;public class HttpClient {private Socket socket = null;//初始化socketpublic HttpClient(String host, int port) {try {socket = new Socket(host, port);} catch (IOException e) {e.printStackTrace();}}//通过get方法发起一个HTTP GET请求public void get(String url) throws IOException  {//构造HTTP结构的字符串try(InputStream inputStream = socket.getInputStream();OutputStream outputStream = socket.getOutputStream();){String firstLine = "GET " + url + " HTTP/1.1\n";String header = "Host: " + socket.getInetAddress().getHostAddress() +":"+socket.getPort()+ "\n";String blankLine = "\n";String httpRequest = firstLine + header + blankLine;outputStream.write(httpRequest.getBytes());outputStream.flush();//发送出请求之后，还需要读取响应byte[] buffer = new byte[1024+1024];int n = inputStream.read(buffer);String httpResponse = new String(buffer, 0, n);System.out.println(httpResponse);}catch(IOException e){e.printStackTrace();}return ;}public static void main(String[] args) {}
}

想运行测试是有一定困难的，因为目前没有http的服务器。sougou，baidu都是https的服务器（这一直要等到虚了spring，自己写HTTP服务器之后）。这里主要是去理解，HTTP协议的本质就是按照格式构造字符串。

更希望的是构造出HTTPS的请求来访问一些知名的网站，但是通过tcp socket构造非常复杂，然而也有一些现成的库。

Java / Python /C++ 主流的编程语言都提供了这样的库。

HTTPS加密流程详解

一、HTTPS基础概念

HTTPS（HyperText Transfer Protocol Secure）是HTTP的安全版本，它在传输层和应用层之间加入了SSL/TLS加密层。主要特点包括：

1. 数据加密：防止传输内容被窃听
2. 身份验证：确保通信双方的真实性
3. 数据完整性：防止传输内容被篡改

二、HTTPS加密流程详解

HTTP是明文传输的，因此HTTP并不安全，容易发生“运营商劫持”，如下图

运营商的路由器，搭载一些程序，识别到如果是要获取天天动听的下载地址，那么就篡改成QQ浏览器的下载地址

这就涉及到了“加密”的概念。加密属于密码学，密码学属于数学的分支学科。

其中，比较基础的核心概念：

明文：要传输的原始数据

密文：要保护原始数据，需要对数据进行变化，使其不容易被别人识别出来

明文->密文：加密过程

密文->明文：解密过程

加密解密过程中涉及到一个关键的中间数据：密钥

HTTPS工作过程：（这里不研究加密的具体算法是怎么做到的，因为这是一个比较复杂的数学问题）

1.引入对称加密

生成一个密钥，明文到密文，通过这个密钥进行，而密文到明文，也是通过这个密钥来进行的。此时客户端给服务器发送的就是通过key进行对称加密的密文，黑客就算知道数据是什么，由于他没有密钥，也就无法知道明文。

服务器收到数据之后，使用同样的密钥对数据进行解密。

HTTP协议来说，首航不加密，header和body都进行加密

上述方案是不太可行的。

一个服务器要给很多个客户端提供服务，而服务器和这些客户端通信的过程中，使用的密钥不是同一个。既然每个客户端的密钥都是不同的，得有人生成一个“随机的密钥”来作为这次通信使用，可以是客户端负责生成，也可以是由服务器负责生成。无论是哪一方生成，都需要去通知对方。

客户端负责生成密钥，比如888888（真实的密钥是非常长的一串字符串）

上述的密钥传输，也经过了黑客的设备，黑客也就知道了

问题：需要告诉对方密钥是什么，但是密钥不能明文传输

那么，如果对密钥再进行一次对称加密呢？比如密钥是key，使用另一个密钥key2针对key来进行加密，把key密文传输给对端。

然而，如果不把key2告诉服务器，服务器也就解密不了，拿不到key，如果把key2告诉服务器，又会被黑客获取到。

2.引入非对称加密

非对称加密有两个密钥，这两个密钥其中一个可以公开出去，谁都能获得，是公钥

另一个则不能公开，自己持有，是私钥

比如，使用公钥加密，那就使用私钥解密

如果使用私钥加密，那就使用公钥解密

公钥私钥不是凭空来的，都是数学家们研究出来的，具有一定关系的数据。

对称加密保护数据，本身比较安全的，关键是对称密钥要能安全传输给对方

引入非对称加密的主要目的，就是为了传输对称密钥

为什么不直接那非对称加密去传输数据呢？

因为非对称加密，加密解密的计算成本，远高于对称加密。

公钥私钥，是服务器生成的一个密钥对，私钥服务器自己持有，公钥公开出去，所有人都能获取得到。

客户端就可以使用公钥，对对称密钥进行加密。

当前的数据，到达黑客的设备，黑客没有办法，黑客手里只有公钥，公钥此处是用来加密的，无法进行解密。

服务器拿着私钥解密，获取到对称密钥888888

*黑客为什么不直接入侵服务器，这样不就能拿到私钥了吗

*当然有可能的，但是存在门槛的。入侵运营商的设备，大概率是比入侵一个企业的机房要更容易一些。直接入侵了，不需要监听任何数据，直接拖数据库。 (知名网站被拖库，也不是什么新鲜事了...)

3.中间人共计

黑客是有办法解决刚才那一套方案的

由于公钥本身就是公开的，不需要加密传输

黑客自己生成了一堆公钥私钥pub2 / pri2

客户端不知道公钥是不是对的，只能选择相信，拿着pub2对堆成密钥888888进行加密。

由于此时数据是通过Pub2加密的，所以黑客就可以拿着pri2对数据解密从而拿到888888.黑客手里拿到了服务器的Pub1公钥，拿着pub1对888888重新进行加密。

服务器拿着Pri1解密，当然解密成功了，服务器拿到了888888.

4.引入证书，通过证书解决中间人共计

证书解决的核心问题，就是让客户端能够识别出当前的公钥，是否是服务器本身创建的，还是黑客伪造的

此时需要引入第三方公正机构，通过公证机构的认证就可以认为公钥是可信的。

证书中结构化数据构成的字符串包含以下属性：

1.证书的发布机构

2.证书的有效期

3.证书的所有者

4.证书对应服务器的地址/域名

5.公钥（服务器生成的pub1 / pri1）

6.数字签名

数字签名是验证证书有效的关键要素！

服务器的开发者需要再公正机构申请证书，提交资质，让对方进行审核。

客户端需要验证证书的合法性，依靠数字签名。

数字签名的生成：

(数字签名，就是加密后的校验和)

公证机构，生成证书之后，针对证书，算一个校验和

公证机构，拿着自己生成的非对称密钥对 (pub3 / pri3)

使用其中的私钥 pri3 对校验和进行加密，得到了数字签名。

数字签名的验证：

客户端拿到证书之后，需要按照同样的校验和算法，对证书的这些字段再算一次校验和，得到checksum1 (客户端自己算的)

使用公证机构的 pub3 公钥对证书中的数字签名，进行解密，得到checksum2 (公证机构算的)

如果两者相等，说明证书没有被篡改过，证书中的公钥就是科学的 (服务器原始生成的)

如果黑客篡改了证书中的公钥，算出来的 checksum1 一定是不等于 checksum2 的

如果不匹配，客户端/浏览器，弹出提示框

对于chrome 弹出红色的页面该网站存在风险，是否要继续访问

上述流程中

1) 黑客能否篡改公钥呢?

不能。一旦篡改公钥，checksum对不上，客户端就能识别出来。

2) 黑客能否自己搞一个证书，整个替换掉服务器返回的证书?

不能。证书中包含了服务器的地址/域名本来访问百度网站，得到的域名，是别人的域名，浏览也很容易识别

3) 黑客是否可以篡改公钥同时，也把数字签名也篡改了呢?

不能. 数字签名是通过公证机构的私钥来进行加密的，这个私钥，黑客拿不到(黑客无法对自己算的校验和进行正确的加密)

4) 公证机构的公钥如何被客户端拿到? 黑客是否可能伪造公证机构的公钥呢?

不能的! 公证机构的公钥不是通过网络获取的，而是内置在操作系统里的 (当然也可以通过其他途径进行安装)

如果黑客搞了一个有猫腻的系统镜像 (之前第三方的系统镜像，大白菜，老毛桃..... 都可能存在这样的隐患)

fiddler安装的时候，也需要安装一个证书。

fiddler的工作过程，就是在进行中间人攻击。数据是加密的，信任安装fiddler的证书，就是允许fiddler进行中间人攻击。 fiddler使用自己的证书替换掉服务器返回的证书。 fiddler的证书已经被安装信任了，就不会让浏览器报错了。fiddler通过上述中间人攻击，拿到对称密钥，进一步的对所有数据解密让我们看到抓包结果的。