HTTP协议/数据安全

HTTP协议

一、URL

1.基本介绍

URL的全称是Uniform Resource Locator（统一资源定位符）

通过1个URL，能找到互联网上唯一的1个资源

URL就是资源的地址、位置，互联网上的每个资源都有一个唯一的URL

 

2.URL中常见的协议

（1）HTTP

超文本传输协议，访问的是远程的网络资源，格式是http://

http协议是在网络开发中最常用的协议

（2）file

访问的是本地计算机上的资源，格式是file://（不用加主机地址）

（3）mailto

访问的是电子邮件地址，格式是mailto:

（4）FTP

访问的是共享主机的文件资源，格式是ftp://

 

二、HTTP协议

1.HTTP协议简介

不管是移动客户端还是PC端，访问远程的网络资源经常使用HTTP协议

访问百度主页：http://www.baidu.com

获得新浪的微博数据

获得大众点评的团购数据

 

2.HTTP协议的作用

HTTP的全称是Hypertext Transfer Protocol，超文本传输协议

（1）规定客户端和服务器之间的数据传输格式

（2）让客户端和服务器能有效地进行数据沟通

 

 

3.为什么选择使用HTTP？

（1）简单快速  因为HTTP协议简单，所以HTTP服务器的程序规模小，因而通信速度很快

（2）灵活  HTTP允许传输任意类型的数据

（3）HTTP 0.9和1.0使用非持续连接  限制每次连接只处理一个请求，服务器对客户端的请求做出响应后，马上断开连接，这种方式可以节省传输时间

 

4.HTTP的通信过程

要想使用HTTP协议向服务器索取数据，得先了解HTTP通信的完整过程

完整的http通信可以分为2大步骤

（1）请求：客户端向服务器索要数据

（2）响应：服务器返回客户端相应的数据

 

三、HTTP通信过程 - 请求和响应

1.HTTP通信过程 - 请求

HTTP协议规定：1个完整的由客户端发给服务器的HTTP请求中包含以下内容

请求行：包含了请求方法、请求资源路径、HTTP协议版本

GET /MJServer/resources/images/1.jpg HTTP/1.1

请求头：包含了对客户端的环境描述、客户端请求的主机地址等信息

Host: 192.168.1.105:8080 // 客户端想访问的服务器主机地址

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9) Firefox/30.0// 客户端的类型，客户端的软件环境

Accept: text/html, */*// 客户端所能接收的数据类型

Accept-Language: zh-cn // 客户端的语言环境

Accept-Encoding: gzip // 客户端支持的数据压缩格式

请求体：客户端发给服务器的具体数据，比如文件数据

 

 2.HTTP通信过程 - 响应

客户端向服务器发送请求，服务器应当做出响应，即返回数据给客户端

HTTP协议规定：1个完整的HTTP响应中包含以下内容：

状态行：包含了HTTP协议版本、状态码、状态英文名称

HTTP/1.1 200 OK

响应头：包含了对服务器的描述、对返回数据的描述

Server: Apache-Coyote/1.1 // 服务器的类型

Content-Type: image/jpeg // 返回数据的类型

Content-Length: 56811 // 返回数据的长度

Date: Mon, 23 Jun 2014 12:54:52 GMT // 响应的时间

实体内容：服务器返回给客户端的具体数据，比如文件数据        

            

3.补充：推荐工具firebug-1.12.5-fx.xpi   

虫子的作用：拦截所有的http请求。

 

4.常见的响应状态码

 

 

四、发送HTTP请求的方法

1.简单说明

在HTTP/1.1协议中，定义了8种发送http请求的方法

GET、POST、OPTIONS、HEAD、PUT、DELETE、TRACE、CONNECT、PATCH

根据HTTP协议的设计初衷，不同的方法对资源有不同的操作方式

PUT ：增

DELETE ：删

POST：改

GET：查

提示：最常用的是GET和POST（实际上GET和POST都能办到增删改查）

 

2.get和post请求                   

要想使用GET和POST请求跟服务器进行交互，得先了解一个概念：参数就是传递给服务器的具体数据，比如登录时的帐号、密码

GET和POST对比：GET和POST的主要区别表现在数据传递上

GET

在请求URL后面以?的形式跟上发给服务器的参数，多个参数之间用&隔开，比如http://ww.test.com/login?username=123&pwd=234&type=JSON

注意：由于浏览器和服务器对URL长度有限制，因此在URL后面附带的参数是有限制的，通常不能超过1KB

POST

发给服务器的参数全部放在请求体中

理论上，POST传递的数据量没有限制（具体还得看服务器的处理能力）

                     

3.GET和POST的选择

选择GET和POST的建议

（1）如果要传递大量数据，比如文件上传，只能用POST请求

（2）GET的安全性比POST要差些，如果包含机密\敏感信息，建议用POST

（3）如果仅仅是索取数据（数据查询），建议使用GET

（4）如果是增加、修改、删除数据，建议使用POST    

                     

4.iOS中发送HTTP请求的方案

在iOS中，常见的发送HTTP请求（GET和POST）的解决方案有

（1）苹果原生（自带）

NSURLConnection：用法简单，最古老最经典最直接的一种方案

NSURLSession：iOS 7新出的技术，功能比NSURLConnection更加强大

CFNetwork：NSURL*的底层，纯C语言

（2）第三方框架

ASIHttpRequest：外号“HTTP终结者”，功能极其强大，可惜早已停止更新

AFNetworking：简单易用，提供了基本够用的常用功能

建议：

为了提高开发效率，企业开发用的基本是第三方框架

5.ASI和AFN架构对比

说明：AFN基于NSURL，ASI基于CFHTTP，ASI的性能更好一些。

 

数据安全

一、简单说明

1.说明

在开发应用的时候，数据的安全性至关重要，而仅仅用POST请求提交用户的隐私数据，还是不能完全解决安全问题。

如：可以利用软件（比如Charles）设置代理服务器，拦截查看手机的请求数据

“青花瓷”软件

因此：提交用户的隐私数据时，一定不要明文提交，要加密处理后再提交

 

2.常见的加密算法

MD5 \ SHA \ DES \ 3DES \ RC2和RC4 \ RSA \ IDEA \ DSA \ AES

3.加密算法的选择

一般公司都会有一套自己的加密方案，按照公司接口文档的规定去加密

 

二、MD5

1.简单说明

MD5:全称是Message Digest Algorithm 5，译为“消息摘要算法第5版”

效果：对输入信息生成唯一的128位散列值（32个字符）

 

2.MD5的特点

（1）输入两个不同的明文不会得到相同的输出值

（2）根据输出值，不能得到原始的明文，即其过程不可逆

 

3.MD5的应用

由于MD5加密算法具有较好的安全性，而且免费，因此该加密算法被广泛使用

主要运用在数字签名、文件完整性验证以及口令加密等方面

4.MD5破解

MD5解密网站：http://www.cmd5.com

5.MD5改进

现在的MD5已不再是绝对安全，对此，可以对MD5稍作改进，以增加解密的难度

加盐（Salt）：在明文的固定位置插入随机串，然后再进行MD5

先加密，后乱序：先对明文进行MD5，然后对加密得到的MD5串的字符进行乱序

总之宗旨就是：黑客就算攻破了数据库，也无法解密出正确的明文

代码示例：

 1 #import "HMViewController.h"
 2 #import "NSString+Hash.h"
 3 
 4 #define Salt @"fsdhjkfhjksdhjkfjhkd546783765"
 5 
 6 @interface HMViewController ()
 7 
 8 @end
 9 
10 @implementation HMViewController
11 
12 - (void)viewDidLoad
13 {
14     [super viewDidLoad];
15     
16     [self digest:@"123"]; //
17     [self digest:@"abc"];
18     [self digest:@"456"];
19 }
20 
21 /**
22  *  直接用MD5加密
23  */
24 - (NSString *)digest:(NSString *)str
25 {
26     NSString *anwen = [str md5String];
27     NSLog(@"%@ - %@", str, anwen);
28     return anwen;
29 }
30 
31 /**
32  *  加盐
33  */
34 - (NSString *)digest2:(NSString *)str
35 {
36     str = [str stringByAppendingString:Salt];
37     
38     NSString *anwen = [str md5String];
39     NSLog(@"%@ - %@", str, anwen);
40     return anwen;
41 }
42 
43 /**
44  *  多次MD5
45  */
46 - (NSString *)digest3:(NSString *)str
47 {
48     NSString *anwen = [str md5String];
49     
50     anwen = [anwen md5String];
51     
52     NSLog(@"%@ - %@", str, anwen);
53     return anwen;
54 }
55 
56 /**
57  *  先加密, 后乱序
58  */
59 - (NSString *)digest4:(NSString *)str
60 {
61     NSString *anwen = [str md5String];
62     
63     // 注册:  123 ----  2CB962AC59075B964B07152D234B7020
64     
65     // 登录: 123 --- 202CB962AC59075B964B07152D234B70
66     
67     NSString *header = [anwen substringToIndex:2];
68     NSString *footer = [anwen substringFromIndex:2];
69     anwen = [footer stringByAppendingString:header];
70     
71     NSLog(@"%@ - %@", str, anwen);
72     return anwen;
73 }
74 @end

（1）直接使用MD5加密（去MD5解密网站即可破解）

（2）使用加盐（通过MD5解密之后，很容易发现规律）

（3）多次MD5加密（使用MD5解密之后，发现还是密文，那就接着MD5解密）

（4）先加密，后乱序（破解难度增加）

三、注册和验证的数据处理过程

1.提交隐私数据的安全过程 – 注册

2.提交隐私数据的安全过程 – 登录