HTTP/HTTPS 简介（一文讲透）

💡一则或许对你有用的小广告

欢迎加入小哈的星球 ，你将获得：专属的项目实战 / 1v1 提问 / Java 学习路线 / 学习打卡 / 每月赠书 / 社群讨论

• 新项目:《从零手撸：仿小红书（微服务架构）》 正在持续爆肝中，基于 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17...，点击查看项目介绍 ;演示链接： http://116.62.199.48:7070 ;
• 《从零手撸：前后端分离博客项目（全栈开发）》 2 期已完结，演示链接： http://116.62.199.48/ ;

截止目前， 星球 内专栏累计输出 90w+ 字，讲解图 3441+ 张，还在持续爆肝中.. 后续还会上新更多项目，目标是将 Java 领域典型的项目都整一波，如秒杀系统, 在线商城, IM 即时通讯，权限管理，Spring Cloud Alibaba 微服务等等，已有 3100+ 小伙伴加入学习 ，欢迎点击围观

前言

在数字化时代，无论是访问网页、发送消息，还是使用在线服务，我们几乎每天都在与互联网通信协议打交道。HTTP（HyperText Transfer Protocol）和 HTTPS（HTTP Secure）作为互联网通信的核心协议，决定了数据如何在网络中传输，以及如何保障这些数据的安全性。对于编程初学者和中级开发者而言，理解这两者的原理与区别，是掌握网络编程、构建安全应用的重要基础。本文将从基础概念出发，结合实际案例和代码示例，逐步解析 HTTP/HTTPS 的工作原理、应用场景及技术细节。

一、HTTP：互联网通信的“通用语言”

1.1 什么是 HTTP？

HTTP 是一种应用层协议，用于在客户端（如浏览器）与服务器之间传输超文本（如网页、图片、视频等）。想象 HTTP 就像一个“快递员”，负责将请求（如“我要查看某个网页”）从客户端传递到服务器，并将服务器的响应（如网页内容）带回客户端。

核心概念：请求与响应

HTTP 通信基于请求-响应模式：

1. 客户端发起请求：例如，用户在浏览器地址栏输入 https://example.com，触发一个 HTTP 请求。
2. 服务器处理请求：服务器根据请求内容（如 URL、方法、参数）生成响应。
3. 返回响应数据：服务器将处理结果（如网页内容、错误信息）通过 HTTP 协议返回给客户端。

import requests  
response = requests.get("https://api.example.com/data")  
print(response.status_code)  # 输出 HTTP 状态码（如 200 表示成功）  
print(response.text)         # 输出响应内容（如 JSON 数据）  

1.2 HTTP 的关键特性

1.2.1 无状态性（Stateless）

HTTP 是一种无状态协议，即每次请求都是独立的，服务器不会记住前一次请求的上下文。这类似于每次快递员送货后，忘记客户之前的订单。为了实现“记住用户”（如登录状态），需要借助 Cookie 或 Session 技术。

1.2.2 请求方法（Methods）

HTTP 定义了多种请求方法，用于指定客户端希望对资源执行的操作：

• GET：获取资源（如网页内容）。
• POST：向服务器提交数据（如表单提交）。
• PUT：更新资源（如修改用户资料）。
• DELETE：删除资源（如删除文件）。

GET /index.html HTTP/1.1  
Host: example.com  
User-Agent: Mozilla/5.0  

1.2.3 状态码（Status Codes）

服务器通过状态码告知客户端请求的处理结果。常见的状态码包括：
| 状态码 | 含义 | 示例场景 |
|--------|--------------------------|------------------------|
| 200 | 请求成功 | 页面加载成功 |
| 404 | 资源未找到 | 访问不存在的 URL |
| 500 | 服务器内部错误 | 后端代码出现异常 |
| 301 | 永久重定向 | 网站迁移至新域名 |

二、HTTPS：在 HTTP 上构建安全通道

2.1 为什么需要 HTTPS？

HTTP 的无状态性和明文传输特性，使其面临数据泄露、中间人攻击（MITM）等风险。例如，当用户通过 HTTP 访问银行网站时，密码和交易信息可能被窃取。而 HTTPS 通过加密通信和身份验证，解决了这些问题。

2.1.1 加密通信：TLS/SSL 协议

HTTPS 在 HTTP 的基础上，通过传输层安全协议（TLS）或其前身 SSL（Secure Sockets Layer）对数据进行加密。这个过程类似于将快递包裹放入一个加密的保险箱，只有收件人能打开。

2.1.2 身份验证：证书的作用

HTTPS 依赖数字证书（Certificate）来验证服务器身份。证书由权威机构（如 Let's Encrypt）签发，包含服务器的公钥和域名信息，确保客户端连接的是真实的服务器，而非伪造的“钓鱼网站”。

2.2 HTTPS 的工作流程

1. 客户端发起请求：浏览器尝试连接 https://example.com。
2. 服务器发送证书：服务器将证书（含公钥）发送给客户端。
3. 客户端验证证书：浏览器检查证书是否由可信机构签发，域名是否匹配。
4. 密钥交换与加密：客户端使用公钥生成会话密钥，并加密发送给服务器，双方建立加密通信通道。
5. 数据加密传输：后续的 HTTP 请求和响应均通过会话密钥加密，确保数据隐私。

// 示例：JavaScript 中通过 HTTPS 获取数据  
fetch('https://api.example.com/secure-data')  
  .then(response => response.json())  
  .then(data => console.log(data))  
  .catch(error => console.error('请求失败:', error));  

2.3 HTTPS 的实际部署

2.3.1 如何获取 SSL/TLS 证书？

• 免费方案：通过 Let's Encrypt 免费获取证书，适合个人或小型网站。
• 商业证书：付费证书（如 DigiCert、GlobalSign）提供更高信任等级和法律保障，适合企业级应用。

2.3.2 配置 HTTPS 的步骤（以 Nginx 为例）

1. 生成证书签名请求（CSR）：

   openssl req -new -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr  
   

2. 提交 CSR 给证书颁发机构（CA），获取证书文件（如 domain.crt）。
3. 配置 Nginx：在服务器配置文件中添加 HTTPS 配置块：

   server {  
       listen 443 ssl;  
       server_name example.com;  
       ssl_certificate /path/to/domain.crt;  
       ssl_certificate_key /path/to/domain.key;  
       # 其他配置...  
   }  
   

三、HTTP 与 HTTPS 的对比与选择

3.1 核心区别总结

3.2 何时选择 HTTPS？

• 敏感数据传输：如用户登录、支付、个人信息等场景。
• 搜索引擎优化（SEO）：Google 等搜索引擎优先收录 HTTPS 网站。
• 用户信任：浏览器会标记 HTTP 网站为“不安全”，而 HTTPS 网站显示绿色锁形图标。

四、实际案例：构建一个 HTTPS 网站

4.1 案例背景

假设我们要为一个电商网站 shop.example.com 配置 HTTPS，确保用户交易数据的安全。

4.2 实现步骤

1. 申请证书：通过 Let's Encrypt 获取免费证书：

   sudo certbot --nginx -d shop.example.com  
   

   Certbot 会自动配置 Nginx 并重启服务。

2. 强制 HTTPS 重定向：在 Nginx 配置中，将 HTTP 流量重定向到 HTTPS：

   server {  
       listen 80;  
       server_name shop.example.com;  
       return 301 https://$host$request_uri;  # 强制跳转  
   }  
   

3. 测试配置：使用在线工具（如 SSL Labs 的 SSL Test）检查证书有效性及加密强度。

4.3 验证 HTTPS 效果

• 浏览器地址栏：显示绿色锁形图标，提示“已加密”。
• 抓包分析：使用 Wireshark 捕获数据包，发现内容已被加密，无法直接读取。

五、常见问题与解决方案

5.1 问题：HTTP/HTTPS 混合内容风险

当页面通过 HTTPS 加载，但引用了 HTTP 资源（如图片、脚本），浏览器会标记页面为“不安全”。
解决方案：确保所有资源均通过 HTTPS 加载，或使用相对协议（如 //example.com/script.js）。

5.2 问题：证书过期导致连接失败

证书有效期通常为 1-2 年，过期后需更新。
解决方案：配置自动续签（如 Certbot 的 cron 任务）：

sudo certbot renew --dry-run  # 测试续签  

六、未来展望：HTTP/3 与 QUIC 协议

尽管 HTTP/1.1 和 HTTP/2 仍是主流，但 HTTP/3 已开始推广。HTTP/3 基于QUIC 协议，通过 UDP 传输数据，支持多路复用和快速重传，进一步提升了通信效率。开发者需关注协议演进，以优化应用性能。

结论

HTTP 与 HTTPS 是互联网通信的基石。HTTP 为数据传输提供了标准化的“语言”，而 HTTPS 通过加密和身份验证，构建了安全的通信通道。无论是开发 Web 应用、设计 API，还是部署网站，理解这两者的原理与实践，将帮助开发者构建更高效、更安全的系统。随着技术发展，持续学习协议的更新（如 HTTP/3）也将成为提升专业能力的关键。

通过本文的讲解，希望读者能建立起对 HTTP/HTTPS 的全面认知，并在实际开发中灵活运用这些知识。