http存在的隐患
HTTP是属于应用层的协议,它是基于TCP/IP的,所以它只是规定一些要传输的内容,以及头部信息,然后通过TCP协议进行传输,依靠IP协议进行寻址,通过一幅最简单的图来描述:
客户端发出请求,服务端进行响应,就是这么简单。在整个过程中,没有任何加密的东西,所以它是不安全的,中间人可以进行拦截,获取传输和响应的数据,造成数据泄露。
对称加密
对于这种情况,我们想到的最直接的办法就是对数据加密
为所有的客户端都应用同一个秘钥A,这种方式很显然是不合理的,破解了一个用户,所有的用户信息都会被盗取。
但是如果每个客户端 都准备一个密钥也不是很现实,服务端需要维护的太多。
另外对称加密还存在一个问题就是对称加密的秘钥也需要传输,如果在传输秘钥的过程中被拦截,秘钥也会被获取,也是非常不安全的。
非对称加密
在对称加密的路上走不通了,我们换个思路,还有一种加密方式叫非对称加密,比如RSA。 非对称加密会有一对秘钥:公钥和私钥。 公钥加密的内容,只有私钥可以解开,私钥加密的内容,所有的公钥都可以解开(当然是指和秘钥是一对的公钥)。