HTTP与HTTPS

HTTP与HTTPS的概念

HTTP（HyperText Transfer Protocol），即超文本传输协议，是互联网上应用最为广泛的一种网络协议。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。通过HTTP或者HTTPS协议请求的资源由统一资源标识符（Uniform Resource Identifiers，URI）来标识。

HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此HTTP协议不适合传输一些敏感信息，比如信用卡号、密码等。

HTTPS（Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

HTTP与HTTPS的区别

HTTPS和HTTP的区别主要集中在以下4点：

• HTTPS协议需要服务端先到CA申请证书。
• HTTP是明文传输，HTTPS 则是具有安全性的SSL加密传输协议。
• HTTP和HTTPS使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。
• HTTP的连接很简单，是无状态的，而HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比HTTP协议更安全。

使用HTTPS保障BOS数据安全性

BOS目前已经全面支持HTTP与HTTPS的传输协议，使用HTTP和HTTPS与BOS的交互过程如下图所示。

使用HTTP

Client端使用HTTP协议进行传输时，由于HTTP属于明文传输，在传输过程中可能存在被中间方截取、篡改等恶意攻击行为，存在一定的安全隐患。

使用HTTPS

HTTPS属于加密传输，BOS已向CA申请了证书。该证书只有用于BOS服务器的时候，Client端才信任该主机。

在传输过程中，BOS会先返回给Client端该证书信息，并由Client端进行合法性认证，认证通过后，Client端与BOS会协商出一个随机的对称加密密钥，其后Client端与BOS之间的通讯请求都会被安全的对称加密算法进行加密处理。因此， 即使传输过程中被恶意的中间方截获，由于是密文，也无法进行恶意攻击，可以有效的保障 传输数据的安全性。

性能影响

由于HTTP是明文传输，HTTPS是加密传输，因此两者在响应时间QPS、吞吐量（网卡）、资源消耗三方面都存在区别，其中响应时间包括RTT ( Round Trip Time )、加密解密耗时、后端读写处理耗时等。具体影响程度会跟OpenSSL的版本、使用的加密算法、和到BOS Server端的RRT等诸多因素有关。

与HTTP相比，HTTPS需要经过SSL交互过程，因此会比HTTP过程多两个RTT的延时损耗。比如：Ping时间是40ms，HTTPS比HTTP的延时会增加80ms。

总体来看，在网络条件较好，且文件较大时，选择HTTPS几乎没有影响；当网络条件较差，文件较小时，如图片处理等场景，HTTPS的延时会放大。

配置示例

为了您的数据在传输过程中的可靠性，我们推荐您使用HTTPS协议。目前，BOS的API和SDK已经全面支持配置HTTPS。

API方式

使用API访问时，根据您使用的语言不同，将对应的端口协议配置为HTTPS即可。

SDK方式

使用SDK访问时，不同语言SDK的配置方法请参考：

• Java SDK- 配置HTTPS协议访问BOS
• Python SDK- 配置HTTPS协议访问BOS
• PHP SDK- 配置HTTPS协议访问BOS
• C# SDK- 配置HTTPS协议访问BOS
• Android SDK- 配置HTTPS协议访问BOS