【Java EE初阶二十二】https的简单理解

1. 初识https

         当前网络上,主要都是 HTTPS 了,很少能见到 HTTP.实际上 HTTPS 也是基于 HTTP.只不过 HTTPS 在 HTTP 的基础之上, 引入了"加密"机制;引入 HTTPS 防止你的数据被黑客篡改 ;

        HTTPS 就是一个重要的保护措施.之所以能够安全, 最关键的在于"加密”;

1.1 关于明文和密文

        明文:一般来说传递的原始全部信息称为明文;

        密文:通过一些手段对明文进行特殊处理获取到的真正想传输的内容信息为密文;

        一般来说,明文 + 密钥 => 密文;密文 + 密钥 => 明文;

1,2 秘钥加密方式

        在密码学中,使用密钥加密, 有两种主要的方式.

1、对称加密.

        加密和解密,使用的密钥是同一个密钥
        设密钥 为 key,则
        明文 + key => 密文;密文 + key =>明文

2、非对称加密.

        有两个密钥(一对),这俩密钥,一个称为“公钥”,一个称为"私钥"(公钥就是可以公开的,私钥就是自己藏好的),则规则如下:

        明文 + 公钥 => 密文,密文 + 私钥 =>明文或者

        明文 + 私钥 =>密文,密文 + 公钥 =>明文;

        主要就是用一个钥匙加密,就用另一个钥匙解密;

2. https的工作过程

        https工作目标是针对 HTTP 这里的 header 和 body 进行加密;

2.1 先引入对称加密

        详细的请求图解如下所示:

        

        上面的模型存在一个重要问题,服务器不是只和一个客户端通信, 而是和很多客户端通信,
这些客户端使用的对称密钥必须要求每个客户端的密钥都不相同,彼此之间才不能知道对方的密钥的;所以服务器就需要记录不同客户端的秘钥,如下所示:

        如上图所示,此时要求每个客户端对应的密钥都不同.现在就需要每个客户端,在和服务器建立连接的时候,就把密钥给生成出来 (涉及到一些随机数机制在里面,保证每个客广端生成的密钥都不同),客户端再把自己的密钥通过网络传输给服务器;

        秘钥被黑客截获之后的原理如下所示:

2.2 非对称加密

        为了解决上述安全传输密钥的问题,引入了"非对称加密”,非对称加密中,有一对密钥.公钥和私钥,可以使用公钥加密,私钥解密,或者使用私钥加密,公钥解密;其工作原理如下所示:

        既然已经引入了非对称加密,为啥还需要引入对称加密呢?
        一般来说直接使用非对称加密,来完成所有业务数据的加密传输即可,进行非对称加密/解密,运算成本是比较高的.运算速度也是比较低的.
        对称加密,运算成本低, 速度快.
        使用非对称加密,只是用来进行这种关键环节 (传输密钥)(一次性的工作,体积也不大),成本就比较可控
        后续要传输大量的业务数据,都使用效率更高的对称加密,比较友好的做法.如果业务数据都使用非对称加密,整体的传输效率就会大打折扣了. 

        上述的对称加密+非对称加密过程就是https的基本盘,但是上述的流程中还存在一个严重的问题,就是黑客如果利用好这个漏洞,任然可以获取到明文数据;

2.3 中间人攻击

        关于中间设备的入侵消息流程如下所示:

        q:如何解决上述 中间人攻击问题呢?

        a:之所以能进行中间人攻击,关键要点在于客户端没有"分辨能力,客户端不知道当前这个公钥是不是黑客伪造的!这里的"分辨”不能靠"自证”(谁都是说自己是真的),所以最好的方法就是引入第三方可以被大家都信任的"公证机构",公证机构说这个公钥是正确的,不是被伪造的,我们就是可以信任的;

2.4 使用证书,校验服务器的公钥

        关于公正机构何生成数字签名的流程如下图所示:

        如上图所示,客户端拿到了证书,也就拿到了证书中的公钥,客户端就需要验证这个公钥是否是服务器最初的公钥(是否是被黑客篡改了??),这个过程, 就称为"证书的校验";
        如何进行校验?

        其核心机制,就是"数字签名"=> 被加密后的校验和,(拿着数据的每个字节,带入公式,就能算出一个结果数字,称为校验和),此时, 客户端拿到了数字签名,就可以通过系统内置的公正机构的公钥,进行解密之后得到最初的校验和;客户端再重新计算一遍这里的校验和, 和解密出来的校验和进行对比,如果校验和一致,就可以认为证书没有被篡改过,公钥就是可信的 (服务器原始的公钥)

        故此在上述机制下,黑客就无法对证书内容进行篡改了.即使篡改,也很容易被发现.当黑客收到证书之后,如果直接修改里面的公钥,替换成自己的,客户端在进行证书校验的时候,就会发现校验和不一致了 ,随意客户端就可以认为证书是篡改过了.(客户端这边往往就会弹出一些对话框来警告用户,存在安全风险)

        q:那么黑客替换公钥之后,能否自己替换掉数字签名,自己计算一个呢?

        a:不能的!校验和好算,针对校验和加密,需要使用公证机构的私钥才能进行的,黑客没有这个私钥.如果黑客拿自己的私钥加密,客户端也就无法使用公证机构的公钥解密了,就有可能遇到这种情况,公证机构的公钥是客户端系统自带的,黑客也无法替换,

        结合上述过程,证书就是可信的,通过了校验,就说明公钥就是服务器原始的公钥了

3. Tomcat

        tomcat是HTTP 服务器,使用 HTTP 进行通信,就需要涉及到 HTTP 客户端 和 HTTP 服务器

        HTTP 客户端:浏览器,Postman,爬虫程序等;

        HTTP 服务器:已经有现成的 http 服务器, 咱们只需要去使用或者基于这些 http 服务器进行二次开发即可,人家的代码已经把如何处理 http 请求,如何构造 http 响应都封装好了,咱们只需要调用这些 api 来构造咱们的业务逻辑即可(即自己制作一个相应的网站);

3.1 下载tomact

        1、进入官网

        2、选择 Tomcat8 系列版本

        3、下载压缩包

        4、直接使用即可

3.2 认识tomcat

        Tomcat 是一个 Java 写的 http 服务器,Tomcat 是一个基于 java 实现的"绿色软件",只要解压缩,就可以使用.(需要提前安装好 JDK);下面认识一下关于tomcat文件夹里的相关文件及其作用;

1、bin目录

        双击上述 startup.bat,就可以启动 tomcat,最终的 tomcat 就是一个控制台程序了故服务器开发的话,服务器基本上都是控制台程序,(一般来说都是不带界面的)

        关于tomcat启动失败的几个原因如下所示:

把 startup.bat 拖到 cmd 中运行,如果闪退,大概率 cmd 中能显示出出错信息

        1)、端口被占用了

        (已经启动 tomcat, 再启动第二个),或者电脑上可能装了其他的程序也占用了 8080(像Windows自带的 HTTP 服务器, lS)

        2)、环境变量问题

         (可能是 tomcat 找不到 jdk, 也可能是 tomcat 找不到自己所在的目录),提示是缺哪个环境变量,就配置上即可.

        Tomcat 启动成功之后,就可以通过浏览器来访问 tomcat 的欢迎页面.

        

        tomcat 的日志,在控制台中,可能是乱码的,主要原因是Tomcat 默认使用的字符集是 utf8
而 windows cmd 的字符集是 gbk.

2、关于conf

        conf 中放的是 tomcat 的配置文件,一个程序的功能可能是非常丰富的.就需要按需开启这里的某些功能.给程序猿使用的专业程序,一般很少会专门做一个界面,来让大家修改配置,我们一般就都是通过配置文件的方式来进行设置的;

3、关于log

        日志是调试一个服务器程序最重要的手段.我们后续自己写的程序,代码中打印的日志,就可以在上述目录中看到;

        日志,就是通过 System.out.printin 等方式打印的一些字符串.调试程序,就是使用调试器,打断点,单步执行;调试器不适合给服务器程序使用.给程序打个断点,服务器运行到断点,停下来了.(服务器就卡着了)此时此刻,其他客户端的请求可能就无法被响应了;

        使用调试器的本质上是
        1、更好的理解程序的实际执行过程.
        2、更好的关注到某些临时结果(某个变量的中间的值)

        使用日志的缺点:使用日志调试,每一次添加或改动日志,都需要重新编译运行一次,这就会花费很多的时间;

4、关于webapps

        webapps 中,每个目录,都是一个 webapp (就包含了一个网站的后端代码和前端代码);

        这个目录中还能见到 .war 压缩包文件. war 包是使用 tomcat 发布程序的一种方式,写好的一个网站,就可以打包成 war 包,拷贝到 tomcat 的 webapp 里,tomcat 就会自动对 war包 进行解压缩,从而完成网站的部署和加载

        下面通过一个例子来感受一下tomcat:

        如上图所示,这就是 tomcat 的重要作用,可以让浏览器通过网络来访问到一个 html 页面.

        

        而上图所示,则是直接双击打开html页面,这个做法是让浏览器打开一个本地文件
和上面是有本质区别的;

        Tomcat 就像是一个"底座"一样,我们所编写的网站,都是要架到这个底座上,然后才能够被外面的用户顺利访问到;刚才只是在 tomcat 上放了一个简单的"静态网页",实际上 tomcat 还能支持"动态网页”,从而让程序猿写出更复杂的逻辑,功能更强大的页面;

3.3 静态网页和动态网页

        静态页面: 页面内容是固定的,如下图所示:

        动态页面: 根据用户输入的内容不同,产生出不同的结果

        如下图所示:

        

        综上所述,输入不同的内容,得到的页面结果;虽然内容不同,但是页面结构非常相似,简直是一个模子中刻出来"的一样;

        一个静态页面,就是一个单纯的 html;动态页面就要复杂一些,就需要在背后让程序猿来编写一些代码, 来描述一些逻辑,比如bilibili, 输入不同的词, 就需要检索出不同的数据.同时对于不同的用户,也就需要推荐出不同的感兴趣的内容.

        Tomcat 就是可以支持静态页面,也能支持动态页面;(Tomcat 提供了一组 api,封装了 HTTP 协议, 可以让程序猿更方便的去编写动态页面了,这组api被称为servlet

ps:本次的内容就到这里了,如果大家感兴趣的话,就请一键三连哦!!!

        

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/695453.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

第2.5章:StarRocks表设计--Colocation Join

目录 一、StarRocks数据划分 1.1 分区 1.2 分桶 二、Colocation Join实现原理 2.1 Colocate Join概述 2.2 Colocate Join实现原理 三、应用案例 注:本篇文章阐述的是StarRocks-3.2版本的Colocation Join 官网文章地址: Colocate Join | StarRoc…

css知识:盒模型盒子塌陷BFC

1. css盒模型 标准盒子模型,content-box 设置宽度即content的宽度 width content 总宽度content(width设定值) padding border IE/怪异盒子模型,border-box width content border padding 总宽度 width设定值 2. 如何…

互联网加竞赛 大数据疫情分析及可视化系统

文章目录 0 前言2 开发简介3 数据集4 实现技术4.1 系统架构4.2 开发环境4.3 疫情地图4.3.1 填充图(Choropleth maps)4.3.2 气泡图 4.4 全国疫情实时追踪4.6 其他页面 5 关键代码最后 0 前言 🔥 优质竞赛项目系列,今天要分享的是 🚩 大数据疫…

oppo手机如何录屏?解锁录屏新功能!

“最近换了一款oppo手机,感觉它的拍照功能真的很强大。但除此之外,我发现oppo还有许多隐藏功能,比如录屏。但我尝试了很久,都没找到录屏的开关在哪里。有没有哪位oppo用户知道怎么打开这个功能呢?” 随着科技的不断发…

Nexus 仓库

一、仓库介绍 1.仓库类型 proxy:是远程仓库的代理。比如说在nexus中配置了一个central repository的proxy,当用户向这个proxy请求一个artifact,这个proxy就会先在本地查找,如果找不到的话,就会从远程仓库下载&#x…

小迪安全29WEB 攻防-通用漏洞SQL 注入增删改查盲注延时布尔报错

#知识点: 1、明确查询方式注入 Payload 2、明确查询方式注入产生功能 3、明确 SQL 盲注延时&布尔&报错 #详细点: 盲注就是在注入过程中,获取的数据不能回显至前端页面。 也就是在代码中无echo将sql结果输出出来 此时&#…

详解 IT/OT 融合的五层架构(从PLC/SCADA到MES/ERP)

作为一个电气自动化的从业者,有必要搞懂下面术语的意思。 IT:Information Technology的缩写,指信息技术; OT:Operational Technology的缩写,指操作层面的技术,比如运营技术;CT&…

⭐北邮复试刷题LCR 037. 行星碰撞__栈 (力扣119经典题变种挑战)

LCR 037. 行星碰撞 给定一个整数数组 asteroids,表示在同一行的小行星。 对于数组中的每一个元素,其绝对值表示小行星的大小,正负表示小行星的移动方向(正表示向右移动,负表示向左移动)。每一颗小行星以相…

VirtualPainting:新一代多传感器融合方案,大幅提升3D目标检测性能

论文标题:VirtualPainting: Addressing Sparsity with Virtual Points and Distance-Aware Data Augmentation for 3D Object Detection 论文作者:Sudip Dhakal, Dominic Carrillo, Deyuan Qu, Michael Nutt, Qing Yang, Song Fu 导读: 本文…

后端程序员入门react笔记——react的diff算法(三)

diffing算法 虚拟dom 我们知道,react里面操作的都是虚拟dom,最后经过render渲染为真正的dom,那么为什么要提出虚拟dom这个概念呢?其实就是将逻辑和视图区分开,react的虚拟dom,就相当于mvc的c,…

【自然语言处理】:实验5,司法阅读理解

清华大学驭风计划课程链接 学堂在线 - 精品在线课程学习平台 (xuetangx.com) 代码和报告均为本人自己实现(实验满分),只展示主要任务实验结果,如果需要详细的实验报告或者代码可以私聊博主 有任何疑问或者问题,也欢…

激光条纹中心线提取算法FPGA实现方案

1 概述 激光条纹中心线提取是3D线激光测量领域一个较为基础且重要的算法。目前,激光条纹中心线提取已有多种成熟的算法,有很多相关的博客和论文。 激光条纹中心线提取的真实意义在于工程化和产品化的实际应用,而很多算法目前只能用于学术研究…

五、分类算法 总结

代码: from sklearn.datasets import load_iris, fetch_20newsgroups from sklearn.feature_extraction.text import TfidfVectorizer from sklearn.model_selection import train_test_split, GridSearchCV from sklearn.naive_bayes import MultinomialNB from s…

括号匹配(终极版)(典型栈的运用的题目,值得一看)

括号匹配时运用栈的一个典型例子,它是充分利用了栈先进后出的特性,在这之前,我们先来看一个简单的题目 括号匹配1 Description 输入一串带括号的表达式,判断输入的表达式是否合理。即判断括号是否匹配。为了简化题目&#xff0…

代码随想录KamaCoder46. 携带研究材料(第六期模拟笔试)

题目&#xff1a; 代码(首刷看解析 2024年2月22日&#xff09;&#xff1a; #include<vector> #include<iostream> using namespace std; int Pacakge(vector<int>& a,vector<int>& weights, vector<int>& values) {int M a[0];//…

ElasticSearch语法

Elasticsearch 概念 入门学习: Index索引>MySQL 里的表(table)建表、增删改查(查询需要花费的学习时间最多)用客户端去调用 ElasticSearch(3 种)语法:SQL、代码的方法(4 种语法) ES 相比于 MySQL&#xff0c;能够自动帮我们做分词&#xff0c;能够非常高效、灵活地查询内…

【快速上手QT】04-定时器Timer

先来个小示例 我们先简单的来触发一下定时器。 #include "Zhetu.h"#include <qdebug.h>void Zhetu::timerEvent(QTimerEvent* event) { //定时器触发函数qDebug() << "Hello world"; }Zhetu::Zhetu(QWidget *parent): QMainWindow(parent){t…

C#,数值计算,矩阵的乔莱斯基分解(Cholesky decomposition)算法与源代码

一、安德烈路易斯乔尔斯基 安德烈路易斯乔尔斯基出生于法国波尔多以北的查伦特斯海域的蒙古扬。他在波尔多参加了Lyce e&#xff0c;并于1892年11月14日获得学士学位的第一部分&#xff0c;于1893年7月24日获得第二部分。1895年10月15日&#xff0c;乔尔斯基进入莱科尔理工学院…

PhotoSweeper X mac版 v4.8.5 相似重复照片清理工具 兼容 M1/M2

PhotoSweeper X for Mac是一款Mac重复照片/相似照片清理工具&#xff01;PhotoSweeper可以帮你进行&#xff1a;重复相似照片/数码相片查找、对比和删除&#xff0c;轻松清理Mac上的重复图片&#xff0c;非常实用。 应用介绍 PhotoSweeper X for Mac是一款Mac重复照片/相似照片…