引言

HTTP（Hypertext Transfer Protocol，超文本传输协议[插图]）是在万维网上进行通信时所使用的协议方案。HTTP有很多应用，但最著名的是用于Web浏览器和Web服务器之间的双工通信。

《HTTP权威指南》一书将HTTP中一些互相关联且常被误解的规则梳理清楚，并编写了一系列基于各种主题的章节介绍HTTP各方面的特性。纵观全书，对HTTP“为什么”这样做进行了详细的解释，而不仅仅停留在它是“怎么做”的。此外，这本书还介绍了很多HTTP应用程序正常工作所必需且重要的非HTTP技术。

这本书主要包括以下内容：

• 第一部分描述了Web的基础构件与HTTP的核心技术
• 第二部分重点介绍了Web系统的结构构造块：HTTP服务器、代理、缓存、网关以及机器人应用程序。
• 第三部分提供了一套用于追踪身份、增强安全性以及控制内容访问的技术和技巧。
• 第四部分涵盖HTTP报文主体和Web标准，前者包含实际内容，后者描述并处理主体内容。
• 第五部分介绍了发布和传播Web内容的技巧。
• 第六部分是一些很有用的参考附录，以及相关技术的教程。

安全HTTP

在友好环境中，这些技术都能够很好地工作，但在充满各种利益驱动和恶意对手的环境中，它们并不足以保护那些重要的事务处理。

接下来讨论一种更复杂，更安全的技术，通过数字密码来保护HTTP事务免受窃听和篡改的侵害。

保护HTTP的安全

对很多网络事务来说，这些方法都是很好用的，但对大规模的购物、银行事务，或者对访问机密数据来说，并不足够强大。这些更为重要的事务需要将HTTP和数字加密技术结合起来使用，才能确保安全。

HTTP的安全版本要高效、可移植且易于管理，不但能够适应不断变化的情况而且还应该能满足社会和政府的各项要求。我们需要一种能够提供下列功能的HTTP安全技术。

HTTP的安全版本要高效、可移植且易于管理，不但能够适应不断变化的情况而且还应该能满足社会和政府的各项要求。我们需要一种能够提供下列功能的HTTP安全技术。

• 服务器认证（客户端知道它们是在与真正的而不是伪造的服务器通话）。
• 客户端认证（服务器知道它们是在与真正的而不是伪造的客户端通话）。
• 完整性（客户端和服务器的数据不会被修改）。
• 加密（客户端和服务器的对话是私密的，无需担心被窃听）。
• 效率（一个运行的足够快的算法，以便低端的客户端和服务器使用）。
• 普适性（基本上所有的客户端和服务器都支持这些协议）。
• 管理的可扩展性（在任何地方的任何人都可以立即进行安全通信）。
• 适应性（能够支持当前最知名的安全方法）。· 在社会上的可行性（满足社会的政治文化需要）。

HTTPS

HTTPS是最流行的HTTP安全形式。它是由网景公司首创的，所有主要的浏览器和服务器都支持此协议。

HTTPS方案的URL以https://，而不是http://开头，据此就可以分辨某个Web页面是通过HTTPS而不是HTTP访问的（有些浏览器还会显示一些标志性的安全提示）。

使用HTTPS时，所有的HTTP请求和响应数据在发送到网络之前，都要进行加密。HTTPS在HTTP下面提供了一个传输级的密码安全层——可以使用SSL，也可以使用其后继者——传输层安全（Transport Layer Security, TLS）。

大部分困难的编码及解码工作都是在SSL库中完成的，所以Web客户端和服务器在使用安全HTTP时无需过多地修改其协议处理逻辑。在大多数情况下，只需要用SSL的输入/输出调用取代TCP的调用，再增加其他几个调用来配置和管理安全信息就行了。

总结

人们会用Web事务来处理一些很重要的事情。如果没有强有力的安全保证，人们就无法安心地进行网络购物或使用银行业务。如果无法严格限制访问权限，公司就不能将重要的文档放在Web服务器上。Web需要一种安全的HTTP形式。

作者介绍
非职业「传道授业解惑」的开发者叶一一。
《趣学前端》、《CSS畅想》等系列作者。华夏美食、国漫、古风重度爱好者，刑侦、无限流小说初级玩家。
如果看完文章有所收获，欢迎点赞👍 | 收藏⭐️ | 留言📝。