详解https加密机制及其工作流程 (详解http的session和cookie)

详解HTTPS加密机制及其工作流程：HTTP的Session和Cookie详解

一、引言

随着互联网技术的飞速发展，网络安全问题日益突出。
HTTP作为互联网上应用最广泛的数据传输协议，由于其明文传输数据的特点，存在较大的安全隐患。
为了解决这个问题，HTTPS应运而生。
HTTPS通过对HTTP进行加密，保障了数据传输的安全性和隐私性。
本文将对HTTPS加密机制及其工作流程进行详细介绍，并深入解析HTTP的Session和Cookie机制。

二、HTTPS加密机制

1. HTTPS概述

HTTPS（Hypertext Transfer Protocol Secure）是一种通过计算机网络进行安全通信的传输协议。
HTTPS通过对HTTP通信内容进行加密，实现对数据的保护，确保数据的完整性和隐私性。
HTTPS采用对称加密和非对称加密相结合的方式，实现了通信过程中的双向身份验证和数据加密。

2. HTTPS加密流程

（1）客户端向服务器发送请求，请求中包含对服务器的公钥的需求。

（2）服务器接收到请求后，将自己的公钥发送给客户端，同时还会发送一份数字证书，证明公钥的真实性。

（3）客户端接收到服务器的公钥和证书后，验证证书的合法性。
如果证书合法，则继续与服务器进行通信；否则，中断通信。

（4）客户端生成一个随机数，并基于服务器的公钥对这个随机数进行加密，然后将加密后的随机数发送给服务器。

（5）服务器接收到加密后的随机数后，使用自己的私钥进行解密，得到随机数。
服务器和客户端基于这个随机数生成一个对称加密的密钥，用于后续的数据传输。

（6）服务器和客户端使用生成的对称加密密钥进行数据传输。

三、HTTP的Session和Cookie机制

1. Session机制

（1）Session概念：Session是一种服务端管理机制，用于跟踪用户的状态。
当用户访问网站时，服务器会为用户创建一个唯一的Session ID，并存储在服务器端。
Session中可以存储用户的登录状态、浏览记录等信息。

（2）Session工作流程：用户在浏览器输入网址后，服务器会为用户创建一个Session，并返回一个Session ID。
用户在后续的请求中会携带这个Session ID，以便服务器识别用户身份。
服务器通过Session ID找到对应的Session，获取用户的登录状态和其他信息。

2. Cookie机制

（1）Cookie概念：Cookie是一种由服务器发送到用户浏览器的数据，保存在用户的本地浏览器中。
Cookie中可以存储用户的登录状态、个性化设置等信息。

（2）Cookie工作流程：用户在浏览器第一次访问网站时，服务器会在响应头中返回一个Cookie。
浏览器接收到Cookie后，将其保存在本地。
用户在后续的请求中会携带这个Cookie，以便服务器识别用户身份。
服务器通过解析Cookie中的信息，获取用户的登录状态和其他信息。

四、HTTPS与Session、Cookie的结合

在HTTPS通信过程中，Session和Cookie起到了重要的作用。
由于HTTPS采用了加密技术，保证了数据在传输过程中的安全性。
因此，用户可以在HTTPS通信中使用Session和Cookie进行用户状态的保持和识别。
用户在登录后，服务器会将用户的登录状态存储在Session或Cookie中，并在后续请求中进行验证。
这样，即使在HTTPS通信过程中，用户的信息也能得到保护。

五、总结

本文详细讲解了HTTPS加密机制及其工作流程，并深入解析了HTTP的Session和Cookie机制。
HTTPS通过对HTTP进行加密，保障了数据传输的安全性和隐私性；而Session和Cookie机制则用于跟踪用户状态，实现了用户的个性化服务。
在实际应用中，应将HTTPS与Session、Cookie结合使用，确保数据安全和用户体验。

Session机制的HTTP协议与状态保持

HTTP 协议本身是无状态的，这与HTTP协议本来的目的是相符的，客户端只需要简单的向服务器请求下载某些文件，无论是客户端还是服务器都没有必要纪录彼此过去的行为，每一次请求之间都是独立的，好比一个顾客和一个自动售货机或者一个普通的（非会员制）大卖场之间的关系一样。然而聪明（或者贪心？）的人们很快发现如果能够提供一些按需生成的动态信息会使web变得更加有用，就像给有线电视加上点播功能一样。这种需求一方面迫使HTML逐步添加了表单、脚本、DOM等客户端行为，另一方面在服务器端则出现了CGI规范以响应客户端的动态请求，作为传输载体的HTTP协议也添加了文件上载、 cookie这些特性。其中cookie的作用就是为了解决HTTP协议无状态的缺陷所作出的努力。至于后来出现的session机制则是又一种在客户端与服务器之间保持状态的解决方案。让我们用几个例子来描述一下cookie和session机制之间的区别与联系。笔者曾经常去的一家咖啡店有喝5杯咖啡免费赠一杯咖啡的优惠，然而一次性消费5杯咖啡的机会微乎其微，这时就需要某种方式来纪录某位顾客的消费数量。想象一下其实也无外乎下面的几种方案：1、该店的店员很厉害，能记住每位顾客的消费数量，只要顾客一走进咖啡店，店员就知道该怎么对待了。这种做法就是协议本身支持状态。 2、发给顾客一张卡片，上面记录着消费的数量，一般还有个有效期限。每次消费时，如果顾客出示这张卡片，则此次消费就会与以前或以后的消费相联系起来。这种做法就是在客户端保持状态。 3、发给顾客一张会员卡，除了卡号之外什么信息也不纪录，每次消费时，如果顾客出示该卡片，则店员在店里的纪录本上找到这个卡号对应的纪录添加一些消费信息。这种做法就是在服务器端保持状态。由于HTTP协议是无状态的，而出于种种考虑也不希望使之成为有状态的，因此，后面两种方案就成为现实的选择。具体来说cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案。同时我们也看到，由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制来达到保存标识的目的，但实际上它还有其他选择。

cookie和session的区别及原理

cookie用于交互时存放在客户端，即使用你临时文件夹中不存在cookie,但在你的浏览器进程中会临时保存你的cookie!session是交互时存放在服务端，即使用不保存，也在服务进程中。如果你对网页有交互，服务器如何在众多请求中能识别你那是曾经的哪一个？这依赖于你传递上来的cookie,即合没有任何其他的的交互，在你浏览器进程中也必须保存诸如sessionID之类的cookie!但这个是临时的，只是为了识别你到底是谁而已。知道了你是谁，服务器还需要知道该怎么做，那么在服务器进程中必须存在一个sessionID，这个与你请求的相对应，然后根据这个才知道你是谁，该怎么做。 sessionID是你初次请求时由系统生成，随网页流保存在你的浏览器进程中，以便你在使用postback等回传功能时能识别你！要不然，你回传了，另外一个请求却得到你的回传反应，这有点说不过去吧？sessionid相当于浏览器与服务进程进行了一个简单的约定，可以理解为初次服务器发给你的一个通行号码，以后你与服务器的任何交互都依赖于这个号码！而其他的需要长期保存的一些信息也在cookie中，如用户名与密码等等，与这个通信的结果是相同的。也就是说cookie与session同时存在，分别在客户端与服务器！如果你通过网络嗅探或是其他方式，得到了某一个浏览器正在交互的sessionid以及一些进程中保存的session信息，这个信息在客户端称cookie,这服务器称session。那么你可以利用这些信息进行攻击。如，在某台电脑中保存有某用户的user与password通行信息时，你可以将自己的cookie违装成目标的cookie，然后可以进行登陆，这种攻击方式叫cookie攻击！如果他的这些信息保存在了浏览器进程中，也可以伪造，这种其实也是cookie攻击，但由于其不确定性（你还必须拿到sessionid),这种称为session攻击。其实说白了，这种方式在服务器中直接使用的session[“user]之类的方式取得的，所以伪造时连同sessionid一块伪造，所以才被称为session攻击的。由于多标签浏览器的存在，还可以进行网页交叉攻击！

JavaWeb之Cookie和Session的区别

区别是：1、cookie数据存放在客户的浏览器上，session数据放在服务器上。 2、cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗考虑到安全应当使用session。 3、session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能考虑到减轻服务器性能方面，应当使用COOKIE。 4、单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。