HTTP协议、SSL、cookie、session培训ppt课件

1、HTTP协议、SSL、cookie、session培训教材2021年1月13日HTTP协议概述HyperTextTransferProtocol是超文本传输协议的缩写，它用于传送WWW方式的数据。HTTP是一种基于文本的运用层协议，可以承载于任何底层协议，目前常见为承载于TCP协议。HTTP是一种恳求/应对模型的协议。HTTP是一种无会话的，无形状的协议。HTTP可作为其他协议的承载，比如SOAP，WEBDAV等HTTP协议格式恳求格式 POST / /1.0 rn Content-Type: text/xml; charset=UTF-8rnContent-Length: 7rnUser-A

2、gent: Jakarta Commons-HttpClient/3.0rnHost: 8:9081rnrnABCDEFGHTTP协议格式应对格式/1.1 200 OKrnContent-Type: text/xml; charset=utf-8rnContent-Length: 8rnConnection: closernrnResponseHTTP头HTTP的头域包括通用头，恳求头，呼应头和实体头四个部分。每个头域由一个域名，冒号:和域值三部分组成。域名是大小写无关的，域值前可以添加任何数量的空格符，头域可以被扩展为多行，在每行开场处，运用至少一个空格或制表符。HTTP头恳求头Accept

3、、Accept-Charset、Accept- Encoding、Accept-Language、Authorization、From、Host、If-Modified-Since、If- Match、If-None-Match、If-Range、If-Range、If-Unmodified-Since、Max-Forwards、 Proxy-Authorization、Range、Referer、User-Agent。HTTP头呼应头Age、Location、Proxy-Authenticate、Public、Retry- After、Server、Vary、Warning、WWW-Auth

4、enticate。HTTP头通用头Cache-Control、 Connection、Date、Pragma、Transfer-Encoding、Upgrade、Via。Trunked传输方式/1.1 200 OKrnServer: Apache/2.2.9 (Fedora)rnTransfer-Encoding: chunkedrnrn86brnAbcdefgrn23crnFdjfkdjfkdjfdkfjrn0rnSSL简介平安套接层协议SSL是网景公司(Netscape)提出的基于公钥密码机制的网络平安协议，用于在客户端阅读器软件与Web效力器之间建立一条平安 通道，实现Internet上

5、信息传送的严密性。它包括效力器认证、客户认证可选、SSL链路上的数据完好性和SSL链路上数据严密性。如今国内外一 些对严密性要求较高的网上银行、电子商务和电子政务等系统大多数是以SSL协议为根底建立的，SSL协议已成为Web平安方面的工业规范。目前广泛采用的 是SSL v3版。SSL提供的面向衔接的平安性作用，具有以下三个根本功能： 1衔接是的，在初始握手定义会话密钥后，用对称密码例如用DES加密数 据。 2衔接是可认证的，实体的身份可以用公钥密码例如RSA、DSS等进展认证。 3衔接是可靠的，音讯传输包括利用平安Hash函数产生的带 密钥MACMessage Authentication C

6、ode ：报文鉴别码SSL 协议层次SSL协商过程客 户client端发送Client Hello信息给效力器Server端，Server回答Server Hello。这个过程建立的平安参数包括协议版本，“佳话标识，加密算法，紧缩方法。另外，还交换2个随机数：Client Hello. Random和Server Hello. random.用以计算机“会话主密钥 Hello音讯发送完后，Server会发送它的证书和密钥交换信息，假设Server端被认证，它就会恳求Client端的证书，在验证以后，Server就发送Hello-done音讯以示达成了握手协议，即双方握手接通 Server恳求C

7、lient证书时，Client要前往证书或前往“没有证书的指示，这种情况用于单向认证，即客户端不装有证书。然后Client发送密钥交换音讯。 效力器Server此时要回答“握手完成“音讯Finished，以示完好的握手音讯交换，曾经全部完成。 握手协议完成后，Client端即可与Server端传输运用加密数据，运用数据加密普通是用第2步密钥协商时确定的对称加/解密密钥。如DES、3DE等等，目前商用加密强度为128位。非对称密钥普通为RAS，商用强度1024位，用于证书的验证。 SSL的运用单向认证：又称匿名SSL衔接，这是SSL平安衔接的最根本方式，它便于运用，主要的阅读器都支持这种方式，适

8、宜单向数据平安传输运用。在这种方式下 客户端没有数字证书，只是效力器端具有证书，以确认用户访问的是本人要访问的站点。网上 银行的所谓“群众版就是这种。双方认证：是对等的平安认证，这种方式通讯双方都可以发起和接纳SSL衔接恳求。通讯双方可以利用平安运用程序控件或平安代理软件，前者普通适宜 于B/S构造，而后者适用于C/S构造，平安代理相当于一个加密/解密的网关，这种方式双方皆需安装证书，进展双向认证。这就是网上银行的B2B的专业版 等运用。电子商务中的运用。电子商务与网上银行买卖不同，由于有商户参与，构成客户商家银行，两次点对点的SSL衔接。客户，商家，银行，都必需具证书，两次点对点的双向认证。cookie、sessionCookie定义 “Cookie是Web效力器保管在用户硬盘上的一段文本。Cookie允许一个Web站点在用户的电脑上保管信息并且随后再取回他。信息的片断以名/值对(name-valuepairs)的方式储存。session 定义 session指的就是访问者从到达某个特定主页到分开为止的那段时间的会话上下文。Cookie、session区别Session是存在效力器端的;而