(1)安全性:通信使用明文【没有加密过内容的】
(2)不验证通信方身份,无论是客户端和服务器,都是随意通信的
(3)无法证明报文的完整性【别人监听后,可以篡改】
其实HTTPS就是披着SSL的HTTP。
HTTPS使用的是共享密钥和公开私有密钥混合来进行加密的。由于公开私有密钥需要太多的资源,不可能一直以公开私有密钥进行通信。因此,HTTP在建立通信线路的时候使用公开私有密钥,当建立完连接后,随后就使用共享密钥进行加密和解密了。
对于认证方面,HTTPS是基于第三方的认证机构来获取认受认可的证书、因此,可以从中认证该服务器是否是合法的。
而客户端方面则需要自己购买认证证书、这实施起来难度是很大的(认证证书需要钱,阿里云目前提供免费的证书)。
所以,一般的网站都是使用表单认证就算了,这是用得最广泛的客户端认证了。