面试官的几句话，差点让我挂在HTTPS上

作为软件测试，大家都知道一些常用的网络协议是我们必须要了解和掌握的，比如 HTTP 协议，HTTPS 协议就是两个使用非常广泛的协议，所以也是面试官问的面试的时候问的比较多的两个协议；而且因为这两个协议有相似和关联的地址，面试官为了考察你对其掌握的深度，也经常会问的一个问题就是：你能说说 http 协议和 https 协议的区别么？

一、HTTP 协议

其实对于 http 协议，大家可能都比较熟悉。HTTP 协议，全称是 Hyper Text Transfer Protocol（超文本传输协议）。它是在 TCP 三次握手建立了链接的基础上工作的，所以 http 协议是基于 TCP 协议的 80 端口的应用层协议，主要作用是用于从万维网 WWW 传输资源到本地浏览器的传送协议。

HTTP 协议做的事情主要是用来规定客户端和服务端的数据传输格式，所以它是一个标准和规范。那它是怎么定义这个规范的呢？这就需要我们来看一下这个协议的具体内容了。我们接下来就用 fiddler 抓包来直观地看一下这个报文的内容：

每一个 http 连接包括请求消息和响应消息两个部分，就像你在浏览器里发送要访问百度页面的请求，那么百度服务器就会返回给我一个响应并展示百度页面，所以 HTTP 协议都是基于请求和响应模式的。

请求消息

首先我们来看下 HTTP 协议请求消息，也就是 http request，指从客户端到服务端的请求消息，包括以下信息：

请求行：包括请求方法（GET、POST 等），请求地址 uri，HTTP 版本等信息

请求头：包括的内容非常多，比如 content-type（客户端传递到服务器端的数据格式），User-Agent（标明客户端的基本信息）等

空一行：是格式要求，表示请求头的结束

请求体：就是请求正文，一般是参数等信息

具体抓包显示如下图：

响应消息

服务器收到客户端的请求后就会给出响应，也就是 http response，同样包括以下四个部分信息：

响应行：包括 http 版本以及响应状态码信息

响应头：同样包括的内容比较多，比如 Content-Type（响应消息的格式），cookie\token 等信息

空一行：标识着响应头的结束

响应正文：从服务响应回来的具体数据，比如 XML、JSON 格式的数据，这个也是做接口测试要重点查看的内容。

通过以上抓包信息我们也可以看出来， http 协议有如下几个特点：

通信使用的明文进行数据传输的，任何一个中间截取者都可以截取数据进行篡改；

请求的客户端和响应的服务器端不会对通信双方进行身份的确认，这样就可能会导致任何人都可以假冒成为通讯方而不被发现；

也没有校验和保护数据的完整性的机制，被篡改的数据没有办法被通讯双方所发现。

但是随着互联网的不断发展，我们越来越多的业务都在网上进行，对于安全性就越来越重视。所以针对 HTTP 协议这些不安全的特点，一个新的协议就应运而生，它就是 HTTPS 协议。

二、HTTPS 协议

HTTPS，全称是 Hyper Text Transfer Protocol Secure（超文本传输安全协议），是以安全为目标的 HTTP 通道，简单讲就是 HTTP 协议的安全版。

那么它是怎么实现安全性的呢？看下图：

从图我们可以清晰的看到，HTTPS 协议就是在 HTTP 协议和 TCP 协议之间加入了 SSL 层，所以它的安全性就是通过 ssl 协议来实现的。所以 HTTPS 协议也经常被叫做：披着 SSL 外壳的 HTTP 协议。

那么这个 SSL 协议能提供哪些安全性呢？给大家列一个公式：HTTP+ 加密 + 认证 + 完整性保护 =HTTPS

SSL 握手过程

具体这些安全性机制如何实现的，我们就需要来看一下 HTTPS 的工作流程。下图是 SSL 建立连接的握手过程：

以上过程我们文字解释一下：

1.客户端通过发送 Client Hello 报文开始 SSL 通信

客户端发起请求，以明文传输请求信息，包含版本信息，加密套件候选列表，压缩算法候选列表，随机数，扩展字段等信息。

三、使用 HTTP 协议还是 HTTPS 协议呢？

讲到这里我们会发现 HTTPS 协议确实比 HTTP 协议要安全很多，但是我们平时生活中还是会看到有些网站用的是 http 协议。既然 HTTPS 那么安全可靠，那为何所有的 Web 网站不一直使用 HTTPS 呢？主要的原因有以下几点：

1、对计算机的资源消耗比较大： 因为与纯文本通信相比，加密通信会消耗更多的 CPU 及内存资源。如果每次通信都加密，会消耗相当多的资源，平摊到一台计算机上时，能够处理的请求数量必定也会随之减少。

2、通信速度会比较慢： 和使用 HTTP 相比，网络负载可能会变慢 2 到 100 倍。除去和 TCP 连接、发送 HTTP 请求，响应以外，还必须进行 SSL 通信，因此整体上处理通信量不可避免会增加；

3.对服务器和客户端的机器性能要求更高： 由于大量消耗 CPU 及内存等资源，导致处理速度变慢。因为 SSL 必须在服务器和客户端都进行加密处理，因此从结果上讲，比起 HTTP 会更多地消耗服务器和客户端的硬件资源，导致负载增强。

4. 购买证书需要额外的开销： 要进行 HTTPS 通信，证书是必不可少的。而使用的证书必须向认证机构（CA）购买。证书价格可能会根据不同的认证机构略有不同。通常，一年的授权需要 600 -1000+ 人民币。那些购买证书并不合算的服务以及一些个人网站，可能只会选择采用 HTTP 的通信方式

四、HTTP 协议和 HTTPS 协议的区别

最后，我们来总结一下 http 协议和 https 协议的区别：

下面是一份配套资料，对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库，这个仓库也陪伴我走过了最艰难的路程，希望也能帮助到你！

这些都可以以在公众号：伤心的辣条！免费领取，还有一份216页软件测试工程师面试宝典文档资料。以及相对应的视频学习教程免费分享！，其中资料包括了有基础知识、Linux必备、Shell、互联网程序原理、Mysql数据库、抓包工具专题、接口测试工具、测试进阶-Python编程、Web自动化测试、APP自动化测试、接口自动化测试、测试高级持续集成、测试架构开发测试框架、性能测试、安全测试等。

学习不要孤军奋战，最好是能抱团取暖，相互成就一起成长，群众效应的效果是非常强大的，大家一起学习，一起打卡，会更有学习动力，也更能坚持下去。你可以加入我们的测试技术交流扣扣群：914172719（里面有各种软件测试资源和技术讨论）

喜欢软件测试的小伙伴们，如果我的博客对你有帮助、如果你喜欢我的博客内容，请 “点赞” “评论” “收藏” 一键三连哦！

好文推荐

转行面试，跳槽面试，软件测试人员都必须知道的这几种面试技巧！

面试经：一线城市搬砖！又面软件测试岗，5000就知足了…

面试官：工作三年，还来面初级测试？恐怕你的软件测试工程师的头衔要加双引号…

什么样的人适合从事软件测试工作？

那个准点下班的人，比我先升职了…

测试岗反复跳槽，跳着跳着就跳没了…