一、HTTP 和 HTTPS 的区别(必背)
1️⃣ 本质区别(一句话)
HTTP 是明文传输,HTTPS 是在 HTTP 基础上加了一层 SSL/TLS 加密。
2️⃣ 核心对比表
| 对比项 | HTTP | HTTPS |
|---|---|---|
| 是否加密 | ❌ 明文 | ✅ 加密 |
| 安全性 | 低 | 高 |
| 端口 | 80 | 443 |
| 证书 | 不需要 | 需要 CA 证书 |
| 防篡改 | ❌ | ✅ |
| 防中间人 | ❌ | ✅ |
| 性能 | 稍快 | 略慢(已可忽略) |
3️⃣ HTTPS 解决了什么问题?
HTTP 三大风险
- 窃听(明文被抓包)
- 篡改(内容被修改)
- 冒充(假服务器)
HTTPS 三大能力
- 加密
- 身份认证
- 完整性校验
二、HTTPS 底层原理(TLS 握手流程)⭐
面试官很爱从 HTTPS 问到这里
简化版流程(记住这个)
1. 客户端 → ClientHello
2. 服务端 → ServerHello + 证书
3. 客户端验证证书
4. 协商对称密钥
5. 使用对称加密通信
关键点
- 非对称加密:用于交换密钥
- 对称加密:用于真正传输数据(快)
三、令牌(Token)是什么?为什么要用?
1️⃣ Token 是什么?
Token 是服务器签发的一段字符串,用来标识用户身份。
常见:
- JWT
- Access Token
- Refresh Token
2️⃣ 为什么不用 Session?
| Session | Token |
|---|---|
| 依赖服务器存储 | 无状态 |
| 不适合分布式 | 适合 |
| 需要 Cookie | 可脱离 Cookie |
3️⃣ Token 的典型流程
1. 登录成功 → 服务端生成 Token
2. 客户端保存 Token
3. 每次请求携带 Token
4. 服务端校验 Token
常见携带方式
Authorization: Bearer xxx
4️⃣ JWT 的结构(常考)
Header.Payload.Signature
- Header:算法
- Payload:用户信息
- Signature:防篡改
5️⃣ Token 为什么要配合 HTTPS?
👉 Token 本身不加密
👉 没 HTTPS = Token 会被抓包
四、TCP 三次握手(超高频)⭐
1️⃣ 为什么要三次?
确保双方的收发能力都正常。
2️⃣ 三次握手流程(背这个)
第一次:客户端 → SYN
第二次:服务端 → SYN + ACK
第三次:客户端 → ACK
图示理解
客户端 服务端
| ---- SYN ----> |
| <--- SYN+ACK --|
| ---- ACK ----> |
3️⃣ 每一步干了什么?
1️⃣ 客户端:
“我能发,你能收吗?”
2️⃣ 服务端:
“我能收,也能发,你呢?”
3️⃣ 客户端:
“我也能收,开始通信吧”
4️⃣ 为什么不是两次 / 四次?
- 两次:服务端不知道客户端能不能收
- 四次:浪费一次
五、HTTP 请求整体流程(串起来)
1. DNS 解析
2. TCP 三次握手
3. TLS 握手(HTTPS)
4. HTTP 请求 / 响应
5. TCP 四次挥手
六、面试 30 秒连环回答模板(直接背)
HTTP 是明文传输不安全,HTTPS 在 HTTP 上通过 TLS 实现加密、认证和完整性校验;
HTTPS 握手阶段使用非对称加密协商对称密钥,后续通信使用对称加密;
登录后通常使用 Token 鉴权,客户端在请求头中携带,必须依赖 HTTPS 防止被窃取;
所有通信建立前都需要经过 TCP 三次握手来确认双方收发能力。
