一文拿下HTTP

HTTP

HTTP协议

是应用层使用最广泛的协议之一，从浏览器获取到网页，就是基于http

• 浏览器和服务器之间的交互桥梁

• 基于传输层的TCP协议来实现的，是一种无状态的应用层协议

  • 为啥是无状态的呢

    • 简化服务器端的处理逻辑：HTTP是无状态的，服务器不必保存客户端请求的状态，这样可以减少服务器存储空间的占用和处理复杂度，更容易扩展和管理系统
    • 支持多个请求同时进行：HTTP请求和响应式独立的，浏览器可以同时发送多个请求，提高网络通信的效率

• 

HTTP请求

• 首行

  • 方法 + URL + 版本号
    

    • 认识URL

      • URL的组成
        

      • 最重要的四个部分

        • 域名/IP

        • 端口号

          • HTTP默认端口号80
          • HTTPS默认端口号443

        • 带层次的路径

        • 查询字符串（以键值对的方式来组织的）

      • 举个例子

        • 

    • 方法

      • 

        • GET请求

          • 使用场景

            • 在浏览器地址直接输入url
            • 点击收藏夹
            • html里的link、script、img、a…
            • 通过js来构造get（form标签）

          • 举个例子

            • 

        • POST请求

          • 使用场景

            • 典型的就是登录操作，登录跳转的时候会设计POST
            • 传文件

        • GET 和 POST 的区别

          • GET和POST本质没有区别，大部分场景下能够互相替代，但是在适用情况下是有差异的

          • 传参方式不同

            • GET是习惯使用query string
            • POST是习惯使用body正文传参

          • 语义差别（使用场景上的不同）

            • GET一般用于从服务器获取数据
            • POST一般用于给服务器提交数据

          • 幂等

            • GET请求一般是获取数据，设置为幂等的，每次请求的数据是一样的
            • POST提交数据，每次提交的数据不同，所以是不幂等的

          • 缓存方面

            • GET可以缓存
            • POST一般不能缓存

          • 长度限制

            • GET请求一般有长度限制
            • POST请求一般没有长度限制

• 请求头（header）

  • 构成
    

    • Host

      • 描述了服务器所在的端口，用来描述最终访问的目标。这个内容大概率和URL中是一样的，也有一定情况是不同的

    • Content-Length

      • GET请求中没有这两个字段，POST中一定有
      • body的数据长度

    • Content-Type

      • body的数据格式

    • User-Agent（UA）

      • 描述了浏览器和操作系统的版本
      • 主要分为PC和移动端

    • Referer

      • 当前页面的来源
      • 如果直接通过地址栏输入地址、直接点击收藏夹，就没有referer
      • 用于
        

    • Cookie

      • 本质上是浏览器给网址提供的 本地存储数据的机制

        • 网页是默认不允许访问计算机的硬盘的（为了保证安全，浏览器对于访问硬盘作出了明确的限制），但是我们有这个需求，所以就引入了cookie
        • 通过键值对的方式组织数据

      • cookie从哪来

        • 从服务器来，服务器来决定，浏览器的cookie要存什么
        • 浏览器通过HTTP响应报头部分（set-cookie字段）来知道自己要理解和存储的，下一次请求时就带上这个cookie

      • cookie在哪存

        • 可以认为存于浏览器，也可以认为存在硬盘中
        • cookie在存的时候，是按照浏览器＋域名细分的
        • cookie的内容不仅有键值对，还有过期时间，越敏感的网站，过期时间越短

      • cookie要到哪去

        • 回到服务器里去
        • 客户端会通过cookie保存当前用户使用的中间状态，当客户端访问服务器的时候，就自动把cookie内容带入请求中，服务器就知道客户端什么样子
        • cookie就像是服务器在客户端的寄存处一样，用于服务器记录客户端的状态

      • cookie的工作原理

    • session

      • Session是什么

        • 除了将用户信息通过cookie存储在用户浏览器中，也可以利用session存储在服务器端，存储在服务器端的信息更加安全。 session可以存储在服务器上的文件、数据库或者内存中。可以将session存储在Redis这种内存型数据库中，效率会更高

      • Session工作原理
        

        • 客户端登录完成之后，服务器会创建对应的 session，session 创建完之后，会把 session 的 id 发送给客户端，客户端再存储到浏览器中。这样客户端每次访问服务器时，都会带着 sessionid，服务器拿到 sessionid 之后，在内存找到与之对应的 session 这样就可以正常工作了

      • 使用session维护用户登录状态过程

        • 用户进行登录时，提交包含用户名和密码的表单，放入HTTP请求报文中

        • 服务器验证该用户名和密码，如果正确则把用户信息存储在Redis中，它在Redis中的key称为SessionID

          • SessionID的安全性问题，不能让它被恶意攻击者轻易获取，那么就不能产生一个容易被猜到的SessionID值。此外，还需要经常重新生成SessionID。在安全性要求高的场景，eg转账，除了使用Session管理用户状态，还要对用户进行重复验证，eg重新输入密码、短信验证码等方式

        • 服务器返回的响应报文的Set-Cookie首部字段包含了SessionID，客户端收到响应报文之后将该Cookie值存入浏览器中

        • 客户端之后对同一个服务器进行请求时会包含该Cookie值，服务器收到之后提取出Session ID，从Redis中取出用户信息，继续之前的业务操作

      • 如果客户端禁用了cookie，那么session还能用吗

        • 可以，Session的作用是在服务端来保持状态，通过sessionid来进行确认身份，但sessionid一般是通过Cookie来进行传递的。如果Cooike被禁用了，可以通过在URL中传递sessionid

    • cookie和session的区别

      • 为啥要有cookie和session

        • HTTP是无状态的，请求和响应都是独立的，一次会话中的多次请求时无感知的，如何解决这个问题呢？这就需要借助会话持久技术，常见的就是cookie和session

          • eg，用户进行登录操作的时候，切换到其他页面，服务器无法判断是哪个用户登录的，每次进行页面跳转的时候，都需要重新登录

      • 存储位置不同

        • cookie存储在客户端
        • session存放在服务端，session存储的数据比较安全

      • 存储的数据类型不同

        • 两者都是key-value的结构，cookie的value只能是字符串类型
        • session可以存储任意数据

      • 存储的数据大小限制不同

        • cookie大小受浏览器限制，很多是4k的大小
        • session理论上受当前内存的限制

      • 生命周期的控制

        • cookie的有效期可以设置较长时间
        • session的有效期比较短

• 空行

  • 表示header的结束标记

• 正文（body）

  • 如果是GET请求，一般没有body

  • 如果是POST请求，一般有body

  • body的数据格式

    • 根据请求头中的Content-Type字段来知道以何种方式解码

    • application/x-www-form-urlencoded

      • 原生form表单，不设置Content-Type属性的话，就默认以这种方式进行传输

    • multipart/form-data

      • 使用表单上传文件的时候，必须让表单的Content-Type 等于 multipart/form-data
      • 支持传输多种文件格式

    • application/json

      • 用得比较多，json字符串，支持格式化数据

    • text/xml

      • 一般用来传输xml格式的文件，这种数据格式

HTTP响应

• 例如
  

• 首行

  • 版本号＋状态码+描述码
    

    • HTTP的状态码
      

      • 200 OK

        • 成功

      • 404 NotFound

        • 访问资源不存在，在服务器中没找到

      • 403 Forbidden

        • 拒绝访问，没有权限

      • 302 Found

        • 3xx都是表示重定向
        • 重定向，类似呼叫转移
        • 这样的响应报文会在header里带个location属性，通过这个属性描述要跳转到哪个新地址

      • 500 Internal Server Error

        • 服务器内部错误（服务器代码抛异常了）

      • 504 Gateway timeout

        • 请求超时（响应时间太久，浏览器等不及了）

      • 

• header响应头

• 空行

  • 表示header的结束标志

• body

HTTP报文格式

• 

如何构造HTTP请求

对于GET

• 地址栏直接输入

• 点击收藏夹

• html中的link script img a标签

• form标签

  • 只能构造GET、POST，无法构造PUT、DELETE、OPTIONS等请求

    • GET请求
      

    • POST请求
      

Ajax构造http请求

• 浏览器提供的一种通过js构造http请求的方式

• html中，通过Ajax发起http请求后，不必等待服务器响应，就可以继续往下执行，等服务器响应回来，再由浏览器通知到我们的代码中

• 代码中如何使用Ajax

  • js原生提供Ajax的api，但是很难用

  • jQuery提供的api，针对原生api的封装，简单很多

    • $是一个特殊的全局对象，jQuery的api都是以$的方式引出的，只有一个参数，是一个js对象
      

• 跟form比起来，Ajax的优点

  • 支持PUT、DELETE方法
  • Ajax发送的请求可以灵活设置header
  • Ajax发送的请求的body也可以灵活设置

使用postman构造请求

• 

HTTP和HTTPS

区别

• 两者默认端口不同

  • HTTP：80
  • HTTPS：443

• URL前缀不同

  • HTTP 的 URL 前缀是 http://
  • HTTPS 的 URL 前缀是 https://

• 安全性和资源消耗

  • HTTP 协议运行在 TCP 之上，所有传输的内容都是明文，客户端和服务器端都无法验证对方的身份。HTTPS 是运行在 SSL/TLS 之上的 HTTP 协议，SSL/TLS 运行在 TCP 之上。所有传输的内容都经过加密，加密采用对称加密，但对称加密的密钥用服务器方的证书进行了非对称加密。
  • HTTP 安全性没有 HTTPS 高，但是 HTTPS 比 HTTP 耗费更多服务器资源

HTTPS加密

• 为什么需要加密

  • 因为http的内容是明文传输的，明文数据会经过中间代理服务器、路由器、WiFi热点、通信服务运营商等多个物理节点，如果信息再传输过程中被劫持，传输的内容就完全暴露了。劫持者还可以篡改传输的信息不被双方察觉，这就是中间人攻击，所以我们需要对信息进行加密，最常用的就是对称加密
  • 加密流程
    

• 对称加密

  • 一个密钥，可以加密一段信息，也可以对加密后的信息进行解密，这就是对称加密
  • 但是对称加密怎么才能保证密钥只被传输双方知晓，同时不被别人知道呢？如果传输过程密钥被别人劫持到手，他就可以用密钥解开传输的任何内容了。如果浏览器预存了网站A的密钥，就可以确保不会有人知道密钥了，但是浏览器显然不能预存所有网站的密钥。所以我们就需要非对称加密

• 非对称加密

  • 两把密钥：公钥和私钥，用公钥加密的内容只有私钥能解开，同时用私钥加密的内容只有公钥能解开

  • 只能保证单方向传输的安全性：服务器先把公钥以明文传输给浏览器，之后浏览器向服务器传数据前先用这个公钥加密好再传，然后服务器私钥解密。但是服务器到浏览器这个明文传输的阶段，公钥被中间人劫持了怎么办？他也能用公钥解密服务器传来的信息了，只能保证浏览器到服务器传输数据的安全性

  • 两组密钥

    • 服务器拥有公钥A和私钥A，浏览器拥有公钥B和私钥B
    • 浏览器把公钥B明文传输给服务器，服务器将公钥A明文传输给浏览器
    • 浏览器向服务器传输的内容用公钥A加密，服务器使用私钥A解密。服务器向浏览器传输的内容用公钥B加密，浏览器使用私钥B解密

  • 这样做的确可以，但是非对称加密算法非常耗时，对称加密快很多

• 非对称加密＋对称加密

  • 网站服务器拥有非对称加密的公钥A，私钥A
  • 浏览器向服务器请求，服务器把公钥A明文传输给浏览器
  • 浏览器随机生成一个用于对称加密的密钥X，并且使用公钥A加密传给服务器
  • 服务器拿到私钥A解密得到密钥X，这样双方都有密钥X，且别人都无法知道它，之后的数据都通过密钥X加密解密

• 数字证书

  • 其实非对称加密＋对称加密还是会遭到中间人攻击

    • 中间人把公钥A劫持，保存下来，并且将公钥A替换为自己伪造的公钥B
    • 浏览器生成一个用于对称加密的密钥X，用公钥B加密后传给服务器
    • 中间人劫持到后用私钥B解密得到密钥X，再用公钥A加密后传输给服务器
    • 服务器拿到后用私钥A解密得到密钥X

  • 数字证书

    • 根本原因是浏览器无法确认收到的公钥是不是服务器自己的，如何证明浏览器收到的公钥是网站服务器的呢？CA机构颁发“身份证”：数字证书

    • 网站在使用HTTPS前，需要向CA机构申领一份数字证书，其中包含持有者信息、公钥信息等

    • 如何防止数字证书被篡改？

      • 数字签名
        

        • 制作过程

          • CA机构拥有非对称加密的私钥和公钥
          • CA机构对证书明文数据T进行hash
          • 对hash后的值用私钥加密，得到数字签名S

        • 验证过程

          • 拿到证书，得到明文T，签名S
          • 拿CA机构的公钥对S解密，得到S（是浏览器信任的机构，浏览器保留它的公钥）
          • 用证书指明的hash算法对明文T进行hash得到T
          • 对比T和S的值，如果相等则证书可信

        • 为什么制作签名的时候要hash一次

          • 非对称加密效率差，证书信息长，比较耗时。而hash后得到的是固定长度的信息，这样解密就快很多

      • 中间人有可能篡改吗？

        • 假如中间人篡改了原文，但是它没有CA机构的私钥，无法得到加密后的签名，就无法篡改签名，此时T和解密后S的值不同，就说明被篡改了，证书不可信

      • 中间人有可能把证书掉包吗

        • 证书包含网站A的信息，包括域名，浏览器把证书的域名和请求 的域名对比一下，就知道有没有掉包了

常见的加密算法

• 对称加密

  • DES
  • AES

• 非对称加密

  • RSA
  • DSA
  • ECC

HTTP的长、短连接

HTTP协议和TCP/ID协议的关系

• HTTP的长连接和短连接本质上是TCP的长连接和短连接
• HTTP属于应用层协议，在传输层使用TCP协议，在网络层使用IP协议
• IP协议主要解决网络路由和寻址问题，TCP协议主要解决如何在IP层之上可靠地传输数据包，使得网络上接收端收到发送端所发出的所有包，并且顺序和发送顺序一致

如何理解HTTP协议是无状态的

• 这里的无状态，指的是协议对于事务处理没有记忆能力，服务器不知道客户端是什么状态
• HTTP是一个无状态的面向连接的协议，无状态不代表HTTP不能保持TCP连接

什么是长短连接

• HTTP/1.0默认使用短连接

  • 短连接：三次握手建立连接，一次收发数据之后就进行四次挥手

• HTTP/1.1起，默认使用长连接

  • 长连接：一次连接可以收发多条数据，只有超过一定的时间不再发送数据 才会断开连接
  • 使用长连接的HTTP协议，会在响应头加入：Connection:keep-alive

HTTP1.0 1.1 2.0的主要区别