您当前的位置:首页 > 电脑百科 > 程序开发 > 编程百科

理解HTTPS及配置Django+HTTPS开发环境

时间:2021-04-01 13:10:23  来源:今日头条  作者:黑马程序员

HTTP的弊端及HTTPS的由来

众所周知HTTP协议是以TCP协议为基石诞生的一个用于传输Web内容的一个网络协议,在"网络分层模型"中属于"应用层协议"的一种.那么在这里我们并不研究该协议标准本身,而是从安全角度去探究使用该协议传输数据本身存在的安全问题:

  • (1)、通信使用明文(不加密),内容可能被窃听;
  • (2)、不验证通信方的身份,因此可能遭遇伪装;
  • (3)、无法证明报文的完整行,所以可能被篡改.

为了解决HTTP协议存在的安全性问题,上世纪90年代由网景(NetScape)公司设计了SSL(Secure Sockets Layer)协议——"安全套接层"协议.经过多年发展SSL在互联网上广泛应用,标准化后名称改为TLS(Transport Layer Security)——"传输层安全"协议.

理解HTTPS及配置Django+HTTPS开发环境

 

所谓的HTTPS即是"HTTP+SSL/TLS"的结合使用而已.解决的是HTTP协议数据传输的安全性问题——在HTTP协议层和TCP传输层之间加入"安全层",使得应用层数据报经过加密后再传输,保证数据在传输过程中的完整性.

那么,SSL/TLS在数据传输过程中是如何实现加密保证数据完整性的呢?在此,我们需要再进一步探讨该协议的加密逻辑.

加密算法有两种,分别是"对称加密"和"非对称加密".(本文不对密码学中的加密算法的实现做探讨,仅解释加密原理).

对称加密

关于"对称加密",可以理解成一种"互逆"的数学运算(对比单向加密它是一种可逆的加密算法).也就是说有加密,就可以解密,但是不管是加密还是解密的过程中,必须有一个至关重要的称之为"密钥"的东西参与运算.

理解HTTPS及配置Django+HTTPS开发环境

 

对称加密最大的特点就在于加密和解密使用"相同的"密钥.那么关键问题来了——客户端和服务器交互使用共同的"密钥"来加密通信,这就需要服务器将密钥传输给客户端,但是如此操作又如何才能够保证密钥在传输过程中的安全性呢?如果密钥在传输过程中遭遇第三方拦截,那就意味着双端通信之于第三方而言和明文通信没有区别了.也就是说对称加密并不适用于密钥需要网络传输的应用场景.

由此,诞生了"非对称加密".

非对称加密

所谓的"非对称加密"就是加密和解密使用的密钥是不同的,双端通信各自产生公钥和私钥匙,并交换双端的公钥用于通信加密.如下图所示,当服务器把公钥交给客户端,客户端在通信时使用公钥对数据进行加密处理,即使公钥在传输过程中遭遇第三方拦截,由于解密的密钥始终存储在服务端并不会对外公开,所以拦截方仅用一个公钥是无法解密数据的.

理解HTTPS及配置Django+HTTPS开发环境

 

但是上述应用场景仍然存在一定的被窃听的风险.也就是说,作为窃听者,在拦截服务器响应给客户端的公钥后,伪造服务端身份,给客户端响应窃听者的公钥.此后客户端使用窃听者的公钥加密数据,窃听者在拦截数据消息后,利用自己的私钥进行解密,得到明文数据后篡改数据,然后在使用服务器公钥加密数据和服务器通信.整个通信的过程中,客户端都无法察觉自己通信的对端到底是窃听者还是服务器.

观察下图中的图示模型,假设通信过程已被窃听.那么问题到底出在哪里?

非对称加密中的窃听风险图示

理解HTTPS及配置Django+HTTPS开发环境

 

我们可以从整个流程的一开始去分析.

客户端在第一次请求公钥,并在响应中得到了来自"对端"的公钥.然后就利用该"公钥"通信.问题就是出在了这个环节——显而易见,作为客户端并没有对该"公钥"的"来源"做验证.换句话说,客户端并不清楚,该"公钥"是否真的来自真正的服务器而不是第三方窃听者.

如此,客户端就必须对"公钥"做验证,确定该公钥确实是来自合法的服务器后,才能够保证双端通信的安全性.

CA认证机制

这里需要引入第三方机构: 证书颁发机构(CA, Certificate Authority)即颁发数字证书的机构.是负责发放和管理数字证书的权威机构,作为电子商务交易中受信任的第三方,承担公钥体系中公钥合法性检验的责任.

CA中心会为每个使用公钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户公钥的合法性.CA机构的数字签名使得攻击者无法伪造和篡改证书.换句话说,证书无法篡改,只要证书是有效且合法的,那么证书中的公钥就是有效且合法的!

服务器将公钥提供给CA机构,CA机构使用自己的私钥将服务器公钥加密后将CA证书(该证书保存有服务器公钥)返回给服务器.一般操作系统或者浏览器中都会内置CA根证书.当客户端(比如浏览器)请求服务器时,服务器会将CA证书提供给客户端,客户端获取到CA证书后会使用CA根证书进行本地验证(验证通过即表明服务器CA证书的合法性,间接表明公钥来源的合法性).

自签证书实现django+http+ssl

由于正规的证书需要向CA机构申请,在此,我通过自签证书的形式简单配置一个基于https通信的django服务器.

(1)、创建签发CA根证书的配置文件MyCompanyCA.cnf

理解HTTPS及配置Django+HTTPS开发环境

 

(2)、创建拓展配置文件(用于创建服务器CA证书)MyCompanyLocalhost.ext

理解HTTPS及配置Django+HTTPS开发环境

 

(3)、创建CA证书及密钥(需要使用openssl,可以通过包管理工具安装)

理解HTTPS及配置Django+HTTPS开发环境

 

(4)、创建ssl证书密钥及申请文件

理解HTTPS及配置Django+HTTPS开发环境

 

(5)、签发ssl证书

理解HTTPS及配置Django+HTTPS开发环境

 

经过上述步骤,通过openssl实现自签发证书,其中MyCompanyCA.cer为CA根证书(由于我们这是自签发,系统或浏览器中并不会内置该根证书,需要我们手动添加).ssl证书文件为MyCompanyLocalhost.cer,ssl证书密钥文件为MyCompanyLocalhost.pvk.

Django启动HTTPS测试服务器.

(1)、安装依赖项

理解HTTPS及配置Django+HTTPS开发环境

 

(2)、修改Django配置文件

理解HTTPS及配置Django+HTTPS开发环境

 

(3)、启动django的https服务

理解HTTPS及配置Django+HTTPS开发环境

 

自此django已启动https服务,但使用浏览器仍然无法使用https访问(服务器证书不可信).

理解HTTPS及配置Django+HTTPS开发环境

 

需要将自签发的CA根证书安装到需要使用https访问的客户端中.以下为macos系统中添加证书的操作图示(windows中也有相关界面操作):

(1)、添加根证书

理解HTTPS及配置Django+HTTPS开发环境

 

(2)、设置系统信任该证书

理解HTTPS及配置Django+HTTPS开发环境

 

自此,客户端一方(浏览器)添加完成后,就可以使用https访问服务器.

理解HTTPS及配置Django+HTTPS开发环境


Tags:HTTPS   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
1. 前言本文主要讲解如何在Linux上使用tinyproxy搭建HTTP/HTTPS代理器。tinyproxy是一个HTTP/HTTPS代理。它是轻量级的、快速的、非常容易配置的,而且是一个开源的代理服务。...【详细内容】
2021-12-08  Tags: HTTPS  点击:(16)  评论:(0)  加入收藏
由于https 使用了 TLS/SSL 加密条件,我们无法直接在wireshark的中读取到数据内容,我们先看一下正常的http包的内容。可以直接读取到http的header 和body。 但如果是https 则不...【详细内容】
2021-12-01  Tags: HTTPS  点击:(29)  评论:(0)  加入收藏
这段时间毕竟也是 “金九银十” 的面试的黄金季节,阿粉当然也想去面试,但是因为自身受限,所以只能采访一下出去面试的同学们都问了什么内容,其中有一个,阿粉觉得有必要给大家分享...【详细内容】
2021-11-05  Tags: HTTPS  点击:(45)  评论:(0)  加入收藏
自互联网出现以来,超文本传输协议http协议被广泛用于在Web浏览器和网站服务器之间传递信息,但随着互联网的发展,另一种协议——https出现,并与http一同服务于这个互联...【详细内容】
2021-10-20  Tags: HTTPS  点击:(44)  评论:(0)  加入收藏
背景最近做微信小程序开发比较多,大家知道线上微信小程序为了安全起见,要求后端通信协议必须是HTTPS,这就要求需要安装证书。为了测试预发布线上环境,特地买了个最便宜的域名,为...【详细内容】
2021-09-14  Tags: HTTPS  点击:(124)  评论:(0)  加入收藏
随着互联网安全越来越被重视,几乎所有的大网站都已经默认启用了https协议,浏览器输入http网址也会自动跳转到https,比如百度、腾讯、搜狗、谷歌等等。简单来说就是https协议数...【详细内容】
2021-09-06  Tags: HTTPS  点击:(76)  评论:(0)  加入收藏
为什么要优化 Ngin HTTPS 延迟Nginx 常作为最常见的服务器,常被用作负载均衡 (Load Balancer)、反向代理 (Reverse Proxy),以及网关 (Gateway) 等等。一个配置得当的 Nginx 服...【详细内容】
2021-08-11  Tags: HTTPS  点击:(53)  评论:(0)  加入收藏
我们日常用https访问网站的时候,和网站交互的数据是加密的,所用的协议就是SSL/TLS。所以即使我们截获了这些数据包,我们也不能看到加密的内容。比如我们随便打开百度的网址,用wi...【详细内容】
2021-07-16  Tags: HTTPS  点击:(127)  评论:(0)  加入收藏
1. 实验说明:前面的章节我们已经简单学习了windows server2019上如何搭建web服务器的,有的同学可能在上网的过程中会发现有些域名是使用的http访问而有的域名则是使用https加...【详细内容】
2021-07-07  Tags: HTTPS  点击:(147)  评论:(0)  加入收藏
说明最近项目上遇到一些https的问题,需要在tomcat里面测试一下如何开启https协议访问网站,在网上查了一些资料,自己也试了很多次,终于成功搞定了,下面跟大家分享一下我的一点经验...【详细内容】
2021-04-20  Tags: HTTPS  点击:(162)  评论:(0)  加入收藏
▌简易百科推荐
摘 要 (OF作品展示)OF之前介绍了用python实现数据可视化、数据分析及一些小项目,但基本都是后端的知识。想要做一个好看的可视化大屏,我们还要学一些前端的知识(vue),网上有很多比...【详细内容】
2021-12-27  项目与数据管理    Tags:Vue   点击:(1)  评论:(0)  加入收藏
程序是如何被执行的  程序是如何被执行的?许多开发者可能也没法回答这个问题,大多数人更注重的是如何编写程序,却不会太注意编写好的程序是如何被运行,这并不是一个好...【详细内容】
2021-12-23  IT学习日记    Tags:程序   点击:(9)  评论:(0)  加入收藏
阅读收获✔️1. 了解单点登录实现原理✔️2. 掌握快速使用xxl-sso接入单点登录功能一、早期的多系统登录解决方案 单系统登录解决方案的核心是cookie,cookie携带会话id在浏览器...【详细内容】
2021-12-23  程序yuan    Tags:单点登录(   点击:(8)  评论:(0)  加入收藏
下载Eclipse RCP IDE如果你电脑上还没有安装Eclipse,那么请到这里下载对应版本的软件进行安装。具体的安装步骤就不在这赘述了。创建第一个标准Eclipse RCP应用(总共分为六步)1...【详细内容】
2021-12-22  阿福ChrisYuan    Tags:RCP应用   点击:(7)  评论:(0)  加入收藏
今天想简单聊一聊 Token 的 Value Capture,就是币的价值问题。首先说明啊,这个话题包含的内容非常之光,Token 的经济学设计也可以包含诸多问题,所以几乎不可能把这个问题说的清...【详细内容】
2021-12-21  唐少华TSH    Tags:Token   点击:(9)  评论:(0)  加入收藏
实现效果:假如有10条数据,分组展示,默认在当前页面展示4个,点击换一批,从第5个开始继续展示,到最后一组,再重新返回到第一组 data() { return { qList: [], //处理后...【详细内容】
2021-12-17  Mason程    Tags:VUE   点击:(14)  评论:(0)  加入收藏
什么是性能调优?(what) 为什么需要性能调优?(why) 什么时候需要性能调优?(when) 什么地方需要性能调优?(where) 什么时候来进行性能调优?(who) 怎么样进行性能调优?(How) 硬件配...【详细内容】
2021-12-16  软件测试小p    Tags:性能调优   点击:(19)  评论:(0)  加入收藏
Tasker 是一款适用于 Android 设备的高级自动化应用,它可以通过脚本让重复性的操作自动运行,提高效率。 不知道从哪里听说的抖音 app 会导致 OLED 屏幕烧屏。于是就现学现卖,自...【详细内容】
2021-12-15  ITBang    Tags:抖音防烧屏   点击:(23)  评论:(0)  加入收藏
11 月 23 日,Rust Moderation Team(审核团队)在 GitHub 上发布了辞职公告,即刻生效。根据公告,审核团队集体辞职是为了抗议 Rust 核心团队(Core team)在执行社区行为准则和标准上...【详细内容】
2021-12-15  InfoQ    Tags:Rust   点击:(24)  评论:(0)  加入收藏
一个项目的大部分API,测试用例在参数和参数值等信息会有很多相似的地方。我们可以复制API,复制用例来快速生成,然后做细微调整既可以满足我们的测试需求1.复制API:在菜单发布单...【详细内容】
2021-12-14  AutoMeter    Tags:AutoMeter   点击:(20)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条