Java【网络原理】(5)深入浅出HTTPS:状态码与SSL/TLS加密全解析
目录
1.前言
2.正文
2.1状态码
2.2HTTP与HTTPS的关系
2.3SSL协议
2.3.1对称加密
2.3.2非对称加密
2.3.3中间人攻击
2.3.4校验机制
2.3.4.1证书
2.3.4.2数字签名
1. 数字签名的生成过程
2. 数字签名的验证过程
2.4TLS协议(握手过程)
3.小结
1.前言
哈喽大家好吖,今天继续来给大家网络原理相关方面的讲解,主要内容包括状态码以及HTTPS中加密的全过程,让我们开始吧。
2.正文
2.1状态码
想必大家都遇到过这个画面:
这个耳熟能详的“404”,就是状态码啦。
状态码(HTTP与HTTPS互通)是服务器与客户端通信的“语言”,用3位数字直观反馈请求结果。它不仅是开发调试的核心工具,也是优化用户体验和排查问题的关键线索。
HTTP状态码
https://baike.baidu.com/item/http%e7%8a%b6%e6%80%81%e7%a0%81/5053660
HTTP状态码按首位数字分为5类:
类别 范围 含义 核心逻辑 1xx 100-199 信息性状态 请求已被接收,需客户端继续操作 2xx 200-299 成功响应 请求被正确处理并返回预期结果 3xx 300-399 重定向 资源位置变化,需客户端跳转 4xx 400-499 客户端错误 请求语法错误或权限不足 5xx 500-599 服务器错误 服务器无法完成合法请求
在我前面SpringMVC的博文中,状态码为我们的调试工作发挥了举足轻重的作用,下面我们介绍几个比较重要的状态码。
2xx:成功响应:
200 OK
默认成功状态,适用于GET、POST等请求。
常见误区:
POST请求成功后,部分开发者误用200而非201(资源已创建)。
删除操作成功后,建议返回204(无内容)而非200。
201 Created
场景:资源创建成功(如提交表单生成新订单)。
响应头要求:必须包含Location字段指向新资源地址。204 No Content
场景:请求成功但无需返回内容(如删除资源、提交无返回的表单)。
技术细节:响应体必须为空,浏览器不会刷新页面。
4xx:客户端错误:
400 Bad Request
通用错误:请求语法错误(如JSON格式错误、缺少必填参数)。
开发技巧:后端应返回具体错误信息(如{ "error": "Invalid email format" })。401 Unauthorized
未认证:需身份验证(如未登录用户访问个人中心)。
响应头要求:必须包含WWW-Authenticate字段定义认证方式。403 Forbidden
无权限:身份已认证,但无权访问资源(如普通用户访问管理员页面)。
与401的区别:401是“未证明身份”,403是“身份已知但权限不足”。404 Not Found
资源不存在:URL路径错误或资源已被删除。
SEO影响:过多404错误会降低网站排名,建议配置自定义404页面引导用户。429 Too Many Requests
限流防护:客户端请求频率过高(如API防刷机制)。
响应头要求:应包含Retry-After告知重试时间。
5xx:服务器错误:
500 Internal Server Error
通用服务端错误:代码异常(如未捕获的Exception、数据库连接失败)。
开发建议:记录详细日志(如错误堆栈、请求参数),避免直接返回原始错误给客户端。502 Bad Gateway
网关错误:代理服务器(如Nginx)无法从上游服务器(如Node.js)获取响应。
常见原因:上游服务崩溃、防火墙拦截、请求超时。503 Service Unavailable
服务不可用:服务器临时过载或维护(如电商大促时流量激增)。
优化方案:返回Retry-After头,配合负载均衡和熔断机制。504 Gateway Timeout
网关超时:代理服务器等待上游响应超时。
排查方向:检查后端服务性能、数据库查询效率、网络延迟。
2.2HTTP与HTTPS的关系
通俗理解:
HTTP(HyperText Transfer Protocol):
一种明文传输协议,数据在客户端与服务器之间以未加密形式传输,如同寄送明信片,内容对所有人可见。
HTTPS(HTTP Secure):
HTTP的安全升级版,通过 SSL/TLS协议 对传输内容加密,如同将明信片装入防拆封的保险箱。
横向对比HTTP与HTTPS协议:
1)数据传输安全性:
- HTTP:数据以明文传输,容易被窃听、篡改。
- HTTPS:通过 SSL/TLS 协议对数据进行加密传输,提供数据机密性和完整性保障。
2)端口号:
- HTTP:默认使用端口 80。
- HTTPS:默认使用端口 443。
3)性能:
- HTTP:无加密过程,连接建立速度稍快。
- HTTPS:基于 HTTP上又加了SSL(Secure Sockets Layer)或TLS(Transport Layer Security)协议来实现的加密传输,加解密过程增加了计算开销,握手时间较长,但现代硬件和协议优化已使性能差距减小。
下文我们就要展开本文的重中之重,加密的全过程了。
2.3SSL协议
2.3.1对称加密
定义:
对称加密是一种加密方式,加密和解密使用同一个密钥。就像用同一把钥匙锁门和开门,只有持有钥匙的人才能操作。
具体步骤:
- 客户端与服务器通过TLS握手协商出一个会话密钥(Session Key)。
- 双方使用该密钥对HTTP报文进行对称加密传输。
- 会话结束后密钥销毁,下次连接生成新密钥。
对称加密效率较高,但相反的安全性不足:
2.3.2非对称加密
定义:
非对称加密使用一对数学关联的密钥:
公钥(Public Key):公开给所有人,用于加密数据(如同信箱的投递口)
私钥(Private Key):严格保密,用于解密数据(如同信箱的专属钥匙)
核心特性:
公钥加密 → 私钥解密:任何人都能用公钥加密数据,但只有私钥持有者能解密。
私钥签名 → 公钥验签:私钥可生成数字签名,公钥可验证签名真实性。
对称加密,成本是比较高的,不适合加密大量的数据。大量的业务数据仍然通过对称密钥来加密
对称密钥,如果数据量小则通过非对称加密的方式来传输 。
当前的场景有三个密钥:
- 客户端生成的对称密钥。
- 服务器生成的公钥,可以给所有设备告知。
- 服务器生成的私钥,只有自己知道 。
上述这样的流程存在重大安全隐患,黑客可以通过特殊手段,来获取到对称密钥~~ 破坏后续传输的安全性~那就是中间人攻击 。
2.3.3中间人攻击
定义:
中间人攻击(Man-in-the-Middle Attack, MITM)指攻击者秘密介入通信双方之间,窃听、拦截甚至篡改数据,而通信双方对此毫无察觉。
核心原理:
伪装身份:攻击者伪造通信一方的身份(如伪装成服务器或路由器)。
劫持通信:将双方的流量引导至攻击者控制的节点。
操纵数据:解密、查看或修改数据后转发给真实接收方。
通俗理解:
正常通信:A → 快递员 → B
中间人攻击:A → 伪装成快递员的黑客 → B
虽然服务器私钥并没有被黑客获取,但请求与相应都被黑客一览无余,所以为了安全,引入了一些校验机制,其中包括证书与数字签名。
2.3.4校验机制
在HTTPS通信中,校验机制需解决两个核心问题:
身份真实性:确保通信的服务器是合法的(防止中间人伪造)。
数据完整性:确保传输的证书和数据未被篡改。
解决方案:
证书 → 证明服务器身份
数字签名 → 验证证书的合法性
2.3.4.1证书
一个标准的证书包含以下关键信息:
| 字段 | 作用 |
|---|---|
| Subject(主体) | 证书持有者的信息(如域名、组织名称) |
| Public Key | 服务器的公钥(用于加密数据或验证签名) |
| Issuer(颁发者) | 签发证书的权威机构(CA,如Let's Encrypt、DigiCert) |
| 有效期 | 证书的有效起止时间 |
证书颁发流程:
生成密钥对:服务器生成公钥和私钥。
CSR(证书签名请求):服务器向CA提交包含公钥、域名等信息的CSR文件。
CA验证身份:CA通过DNS记录、文件验证或邮件验证确认申请者对域名的控制权。
签发证书:CA用私钥对证书内容签名,生成最终证书。
先讲解完证书的概念,到下文数字签名介绍完后会讲解客户端拿到证书和数字签名会做些什么
2.3.4.2数字签名
数字签名,本质上是一个校验和。
1. 数字签名的生成过程
计算哈希值:对证书内容(除签名外)使用哈希算法生成摘要。
私钥加密哈希值:CA用私钥对哈希值加密,生成数字签名。
2. 数字签名的验证过程
解密签名:浏览器用CA的公钥解密签名,得到哈希值H1。
重新计算哈希值:对收到的证书内容计算哈希值H2。
比对哈希值:若H1=H2,则证书未被篡改;否则判定为伪造证书。
如果校验和一样,则说明收到的数据是原始数据。
验证逻辑:
只有CA的私钥能生成合法签名 → 签名合法则证书可信。
哈希值匹配 → 证书内容未被篡改。
客户端如何确保拿到的 pub2是公证机构的 pub2,而不是黑客伪造的 pub2 呢??
pub2就不是通过网络传输的,而是操作系统中内置的~(安装好系统,系统就内置了一系列知名公正机构的公钥)只要安装正版系统,不是黑客搞的盗版系统就可以信任 pub2 是正确合法的~
如果黑客想要直接修改证书中的公钥为自己的公钥,此时就会导致客户端计算的校验和和解密出来的原始校验和就对不上。
此时客户端就会报错,浏览器就会弹出一个红色的页面,告诉你该网站不安全,是否要继续访问。
2.4TLS协议(握手过程)
概念
TLS(Transport Layer Security)是SSL的继任者,用于在互联网上建立加密通信通道,解决三大核心问题:
保密性:数据加密传输(防窃听)。
完整性:数据未被篡改(防篡改)。
真实性:验证通信方身份(防伪装)。
握手流程解析:
- 客户端发送 ClientHello 消息给服务器,包含客户端支持的 SSL/TLS 版本、加密套件列表以及一个随机数(Client Random)
- 服务器响应 ServerHello 消息,包含服务器选定的 SSL/TLS 版本、加密套件以及另一个随机数(Server Random)
- 服务器发送证书(Certificate)给客户端,证书包含服务器的公钥以及由受信任的证书颁发机构(CA)签名的数字证书。
- 如果服务器需要客户端认证,则请求客户端证书(Client Certificate Request)。
- 服务器发送 ServerHelloDone 消息,表示握手的初步消息已经发完。
- 客户端验证服务器证书,如果证书有效,它会生成一个预主密钥(Pre-Master Secret),并使用服务器的公钥加密这个预主密钥,把它发送给服务器。
- 服务器使用私钥解密预主密钥,客户端和服务器使用约定好的算法计算出主密钥(MasterSecret)。
- 客户端发送 ChangeCipherSpec 消息,表示后续的通信将使用协商好的密钥和加密算法。
- 客户端发送 Finished 消息,包含使用主密钥计算的握手消息摘要,以确认握手的完整性。
- 服务器发送 ChangeCipherSpec 消息,也表示后续通信将使用协商好的密钥和加密算法.。
- 服务器发送 Finished 消息,包含使用主密钥计算的握手消息摘要,双方握手完成,后续通信开始使用对称加密进行。
(部分内容参考面试鸭)
握手过程中的安全机制
1. 防中间人攻击
证书验证:确保服务器公钥未被伪造。
签名验证:Server Key Exchange消息中的参数由服务器私钥签名。
2. 前向保密(Perfect Forward Secrecy, PFS)
原理:每次会话使用临时密钥(如ECDHE),即使长期私钥泄露,历史通信仍安全。
启用条件:使用ECDHE密钥交换算法。
3. 防重放攻击
随机数(Client/Server Random):确保每次会话密钥唯一。
Finished消息:验证握手过程完整性。
3.小结
今天的分享到这里就结束了,喜欢的小伙伴点点赞点点关注,你的支持就是对我最大的鼓励,大家加油!
相关文章:
Java【网络原理】(5)深入浅出HTTPS:状态码与SSL/TLS加密全解析
目录 1.前言 2.正文 2.1状态码 2.2HTTP与HTTPS的关系 2.3SSL协议 2.3.1对称加密 2.3.2非对称加密 2.3.3中间人攻击 2.3.4校验机制 2.3.4.1证书 2.3.4.2数字签名 1. 数字签名的生成过程 2. 数字签名的验证过程 2.4TLS协议(握手过程) 3.小结…...
【基础IO下】磁盘/软硬链接/动静态库
前言: 文件分为内存文件和磁盘文件。磁盘文件是一个特殊的存在,因为磁盘文件不属于冯诺依曼体系,而是位于专门的存储设备中。因此,磁盘文件存在的意义是将文件更好的存储起来,一边后续对文件进行访问。在高效存储磁盘…...
SpringBoot项目容器化进行部署,meven的docker插件远程构建docker镜像
需求:将Spring Boot项目使用容器化进行部署 前提 默认其他环境,如mysql,redis等已经通过docker部署完毕, 这里只讨论,如何制作springboot项目的镜像 要将Spring Boot项目使用docker容器进行部署,就需要将Spring Boot项目构建成一个docker镜像 一、手动…...
【小记】excel vlookup一对多匹配
一个学生报四门课,输出每个学生课程 应用概述操作预处理数据计数指令 COUNTIFS进行一对多匹配 vlookup 应用概述 应用场景:学生报名考试,需要整理成指定格式,发给考试院。 一个学生最多报考四门 格式实例:准考证号 …...
LeetCode热题100 两数之和
目录 两数之和题目解析方法一暴力求解代码 方法二哈希代码 感谢各位大佬对我的支持,如果我的文章对你有用,欢迎点击以下链接 🐒🐒🐒 个人主页 🥸🥸🥸 C语言 🐿️🐿️🐿…...
问题解决思路:numpy:DLL load failed
首先明确几点: 1这是在使用anaconda中除开base环境下其他envs时出现的问题 2这不是pytorch版本过高的问题(也可以是) 3这不是pytorch安装错误的问题(也可以是)需要检查是否正确安装 解决思路: 本人遇到…...
[春秋云镜] Brute4Road 仿真场景
文章目录 靶标介绍:知识点约束性委派攻击 外网redis主从复制base64提权 内网搭建代理wpcargo插件漏洞mssql弱口令SweetPotato提权远程桌面连接mimikatz抓取hash约束性委派攻击 参考文章 靶标介绍: Brute4Road是一套难度为中等的靶场环境,完成…...
adb 实用命令汇总
版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/ 基础adb命令 # 重启adb adb kill-server# 查看已连接的设备 adb devices# 进入命令行 adb shell# 使用 -s 参数来指定设备 adb -s <设备序列号> shell…...
鸿蒙系统使用ArkTS开发语言支持身份证阅读器、社保卡读卡器等调用二次开发SDK
har库导入: { "license": "", "devDependencies": {}, "author": "", "name": "entry", "description": "Please describe the basic information.", &qu…...
《Python星球日记》 第54天:卷积神经网络进阶
名人说:路漫漫其修远兮,吾将上下而求索。—— 屈原《离骚》 创作者:Code_流苏(CSDN)(一个喜欢古诗词和编程的Coder😊) 目录 一、深度CNN架构解析1. LeNet-5(1998)2. AlexNet&#x…...
《AI大模型应知应会100篇》第53篇:Hugging Face生态系统入门
第53篇:Hugging Face生态系统入门 ——从模型获取到部署的全流程实战指南 📌 摘要 在人工智能快速发展的今天,Hugging Face已成为自然语言处理(NLP)领域最具影响力的开源平台之一。它不仅提供丰富的预训练模型、强大…...
【基于 LangChain 的异步天气查询2】GeoNames实现地区实时气温查询
目录 功能简介 一、创建GeoNames账号 1、进入官网 2、创建账号 二、运行代码 weather_runnable.py main.py 运行结果 功能简介 本文主要通过Langchain,结合GeoNames实现了地区温度的实时查询,并通过GPT-4o对温度进行一段简短的描述。 一、创建Ge…...
嵌入式与物联网:C 语言在边缘计算时代的破局之道
引言 在万物互联的 2025 年,全球物联网设备连接数突破 300 亿台,其中 78% 的嵌入式控制系统仍基于 C 语言开发。这种跨越半个世纪的编程语言,正以新的技术形态在智能汽车、工业物联网、边缘计算等领域重塑竞争力。本文通过三个前沿应用场景&…...
《基于人工智能的智能客服系统:技术与实践》
一、引言 在数字化时代,客户服务已成为企业竞争的关键领域之一。随着人工智能(AI)技术的飞速发展,智能客服系统逐渐成为企业提升服务质量和效率的重要工具。智能客服不仅能够快速响应客户咨询,还能通过自然语言处理&am…...
5. HTML 转义字符:在网页中正确显示特殊符号
在 HTML 开发中,我们经常会遇到需要显示特殊字符的情况,比如 <、>、空格或版权符号等。直接输入这些字符可能会导致 HTML 解析错误或显示异常。接下来通过学习 HTML 转义字符(也称为实体字符),将会掌握了如何在网页中正确显示这些特殊符号的方法。 一、为什么需要转…...
基于nodejs + Koa +Nuxt3的订单系统项目实战
以下是一个基于 Node.js Koa Nuxt3 的订单系统项目实战指南,包含关键实现步骤和代码示例: 一、项目架构设计 project/ ├── backend/ # Koa 后端 │ ├── config/ # 配置文件 │ ├── controllers/ # 控制器 │ ├──…...
软件开发者如何转战AI领域
在人工智能(AI)技术迅猛发展的当下,越来越多的软件工程师开始考虑转型进入AI领域。本文将探讨AI软件行业的现状、所需能力,以及普通软件工程师在转型过程中可以借助的技能和需要补充的知识。 AI软件行业的现状 截至2025年&#…...
服务器数据恢复—硬盘坏道导致EqualLogic存储不可用的数据恢复
服务器存储数据恢复环境&故障: 一台EqualLogic某型号存储中有一组由16块SAS硬盘组建的RAID5阵列。上层采用VMFS文件系统,存放虚拟机文件,上层一共分了4个卷。 磁盘故障导致存储不可用,且设备已经过保。 服务器存储数据恢复过程…...
JAVA实战开源项目:智能学习平台系统 (Vue+SpringBoot) 附源码
本文项目编号 T 181 ,文末自助获取源码 \color{red}{T181,文末自助获取源码} T181,文末自助获取源码 目录 一、系统介绍二、数据库设计三、配套教程3.1 启动教程3.2 讲解视频3.3 二次开发教程 四、功能截图五、文案资料5.1 选题背景5.2 国内…...
Linux系统使用vscode格式化shell脚本
推荐工具及配置方案 BeautySH 特点 纯 Python 实现,轻量级且活跃维护。 配置步骤 安装 BeautySH pip3 install beautyshVSCode 集成 打开命令面板(CtrlShiftP),输入 Tasks: Configure Task,选择 Create tasks.json f…...
牛客练习赛138
目录 A-小s的签到题 无注释版 有注释版 B-行列改写 无注释版 有注释版 C-树上替身追赶游戏 无注释版 有注释版 A-小s的签到题 无注释版 #include<bits/stdc.h> using namespace std; struct f{char ch;int x; }a[110]; bool cmp(f p,f q){if(p.xq.x) return p…...
傅利叶十周年,升级核心战略:“有温度”的具身智能蓝图
5月9日,傅利叶十周年庆典暨首届具身智能生态峰会在上海正式召开。本次大会以“十年共创,具身成翼”为主题,汇聚了来自通用机器人与医疗康复领域的顶尖专家学者、合作伙伴与投资机构,共同探索具身智能在未来十年的技术应用与生态发…...
)
JS正则表达式介绍(JavaScript正则表达式)
文章目录 JavaScript正则表达式完全指南正则表达式基础元字符与特殊字符基本元字符. - 点号\d - 数字\D - 非数字\w - 单词字符\W - 非单词字符\s - 空白字符\S - 非空白字符 正则表达式标志常用标志详解g - 全局匹配i - 忽略大小写m - 多行匹配s - 点号匹配所有字符u - Unicod…...
AI安全之对抗样本攻击---FGSM实战脚本解析
一、对抗样本与FGSM的背景 在深度学习安全领域,对抗样本(Adversarial Examples)因其特殊的生成机制备受关注。2015年ICLR会议收录的里程碑式论文《Explaining and Harnessing Adversarial Examples》中,Goodfellow等学者首次系统…...
《Python星球日记》 第50天:深度学习概述与环境搭建
名人说:路漫漫其修远兮,吾将上下而求索。—— 屈原《离骚》 创作者:Code_流苏(CSDN)(一个喜欢古诗词和编程的Coder😊) 目录 一、什么是深度学习?它与传统机器学习的区别1. 深度学习的定义2. 深…...
Android开发-图像显示
在Android应用开发中,图像显示是提升用户体验的重要元素之一。无论是展示产品图片、用户头像还是应用程序图标,合理地使用图像资源可以显著增强界面的吸引力和功能性。本文将详细介绍如何在Android应用中有效地显示图像,包括加载本地与网络图…...
linux搭建hadoop学习
linux搭建hadoop学习 下载安装包: 海外资源可能需要翻墙或者找国内资源 cd /opt wget https://dlcdn.apache.org/hadoop/common/hadoop-2.10.2/hadoop-2.10.2.tar.gz tar -zxvf hadoop-2.10.2.tar.gz mv hadoop-2.10.2 hadoop配置环境变量 # 在/etc/profile文件中添加下面内…...
PyTorch API 8 - 工具集、onnx、option、复数、DDP、量化、分布式 RPC、NeMo
文章目录 torch.nn.inittorch.nn.attention工具集子模块 torch.onnx概述基于 TorchDynamo 的 ONNX 导出器基于TorchScript的ONNX导出器贡献与开发 torch.optim如何使用优化器构建优化器每个参数的选项执行优化步骤optimizer.step()optimizer.step(closure) 基类算法如何调整学习…...
0基础 | STM32 | TB6612电机驱动使用
TB6612介绍及使用 单片机通过驱动板连接至电机 原因:单品机I/O口输出电流I小 驱动板:从外部引入高电压,控制电机驱动 电源部分 VM:电机驱动电源输入,输入电压范围建议为3.7~12V GND:逻辑电…...
【Linux】POSIX 线程信号量与互斥锁▲
代码要求:高内聚,低耦合 高内聚:元素之间具有很强的关联性,模块的功能单一且集中 低耦合:代码之间的依赖关系尽可能简单,相互之间的影响和交互尽可能少 线程安全问题:多线程访问共享数据&…...