HTTP备忘

HTTP

http,基于tcp协议,位于网络分层模型的应用层,tcp则是位于传输层,所以说http是tcp的上层协议。
传输的基本单位:报文(由8位组字节流组成)。

绝对URI格式:


报文格式:

报文首部:

报文主体:请求报文一般为空(POST方法时不为空),在响应报文中则指的是所请求的资源内容

请求行:请求方法+URI+协议版本(GET /index.htm HTTP/1.1)

  • 请求方法:
  • GET:用于获取资源
  • POST:用于传输实体主体
  • PUT:用于传输文件(出于安全考虑,一般不使用,除非web架构存在安全验证机制)
  • DELETE:用于删除文件(与PUT相反的方法,安全问题一样存在)
  • HEAD:与GET方法一样,但是不返回报文主体部分,用于确认资源有效性等
  • OPTIONS:用于询问支持的方法
  • TRACE:路径追踪,发送请求时,加入Max-Forwards字段及其值,每经过一次服务器,字段值减1,数值为0时,停止传输,由最后收到请求的服务器返回200 OK的响应
  • CONNECT:要求在与代理服务器建立隧道通信,实现用隧道进行TCP通信,HTTPS通信时用到

状态行:版本协议+状态码+原因短语(HTTP/1.1 200 OK)

  • 状态码类别:
类别 原因短语
1XX Informational(信息性状态码) 接收的请求正在处理
2XX Success(成功状态码) 请求正常处理完毕
3XX Redirection(重定向状态码) 需要进行附加操作以完成请求
4XX Client Error(客户端错误状态码) 服务器无法处理请求
5XX Server Error(服务器错误状态码) 服务器处理请求出错
  • 常见状态码:
    • 200 OK :请求被正常处理
    • 204 No Content:请求处理成功。但是没有资源返回
    • 206 Partial Content:客户端进行范围请求时,服务器成功执行这部分请求。响应报文中包含由Content-Range指定范围的内容实体
    • 301 Moved Permanently:资源的URI进行了永久性的更换
    • 302 Found:资源URI进行了临时性更换
    • 303 See Other:与302相同的功能,区别是要求客户端采用GET方法进行资源请求
    • 304 Not Modified:客户端进行附加条件的请求(If-Match、If-Range),服务器允许请求资源,但条件未满足情况,表示服务器资源未改变,可直接使用未过期缓存,虽被划分到3xx类别,但与重定向没有关系
    • 307 Temporary Redirect:与302含义相同,302禁止POST变成GET,但大家可能不遵守,307会遵照浏览器标准,不会从POST变GET
    • 400 Bad Request:请求报文存在语法错误
    • 401 Unauthorized:需要进行HTTP认证,若之前已经进行过1次请求,表示认证失败
    • 403 Forbidden:访问被拒绝
    • 404 Not Found:无法找到请求的资源,服务器拒绝请求时不想解释也可能会用
    • 500 Internal Server Error:服务器在执行请求时发生错误,可能存在一些BUG或者临时的故障
    • 503 Service Unavailable:服务器超负载或进行停机维护

请求首部字段、响应首部字段、通用首部字段,这3个首部字段的字段说明放置本文的最后,下面是Cookie

COOKIE:HTTP协议是一种无状态协议,也就是在HTTP级别,协议对于发送过的请求和响应都不做持久化处理。于是为了管理用户状态(如登录状态),引入了Cookie,web浏览器会将一些数据临时写入用户计算机,当用户再次访问时,将读取之前存放的Cookie进行通讯,在报文首部字段中,Cookie的首部字段为:

首部字段名 说明 首部类型
Set-Cookie 开始状态管理所使用的Cookie信息 响应首部字段
Cookie 服务器接收到的Cookie信息 请求首部字段

Set-Cookie字段属性

属性 说明
NAME=VALUE 赋予Cookie的名称和其值(必需项)
expires=DATE Cookie的有效期(若不明确指定则默认浏览器关闭前为止)
path=PATH 将服务器上的文件目录作为Cookie的适用对象(不指定则默认文档所在的文件目录)
domain=域名 作为Cookie适用对象的域名(不指定则默认创建Cookie的服务器域名)
Secure 仅在HTTPS安全通信时才会发送Cookie
HttpOnly 加以限制,使Cookie不能被JavaScript脚本访问

示例:
Set-Cookie:status=enable; expires=true; 05 Jul 2011 07:26:31 GMT; paht=/; domain=.hackr.jp;

Cookie:status=enable

用户身份认证

  • BASIC认证(基本认证)
    • 认证不够便捷灵活,安全等级不够,不常用
  • DIGEST认证(摘要认证)
    • 缺点与BASIC认证一样,不常用
  • SSL客户端认证
    • 通过第三方认证机构颁发证书进行认证,需要维护费用
    • 一般都是通过双因素认证,不止证书认证,还包括了基于表单认证
  • FromBase认证(基于表单认证)
    • 并非HTTP协议中定义的。即是用户、密码登录的认证。比较灵活,其安全等级由Web服务端的架构安全性能决定,是大多数采用的方法

HTTPS

HTTP的缺点:

  • 明文通信,内容可能被窃听
  • 无身份验证,可能遭遇伪装
  • 无验证报文完整性,可能遭篡改

HTTPS是身披SSL的HTTP


HTTPS=HTTP+加密+认证+完整性保护

  • 加密
    • 共享密钥加密:又称对称加密。用同一个密钥进行加密和解密,难点是如何将密钥安全的送到对方手上
    • 公开密钥加密:使用一对非对称密钥进行加密。分为公钥和私钥,公钥可公开发布,私钥为私自持有。通讯时,请求端通过公钥加密,响应端通过私钥解密。
    • 混合加密:公开密钥加密比共享密钥加密过程更为复杂,所以处理速度要更慢。综合2种的优缺点,HTTPS采用混合加密,先通过公开密钥加密
      方式进行共享密钥的交换,然后用交换后的共享密钥进行加密通信。
  • 认证
    公开密钥加密,依然存在问题,就是无法确保用户拿到的公钥是发布者实际发布的公钥,于是有了第三方认证机构,可对发布的公钥进行数字认证颁发数字认证证书(EV SSL证书),但是向认证机构申请证书是需要费用的

认证过程:

HTTPS的安全通信过程:

  1. 客户端通过发送Client Hello报文开始SSL通信。报文中包含客户端支持的SSL的指定版本、加密组件(Cipher Suite)列表(所使用的加密算法及密钥长度等)。
  2. 服务器可进行SSL通信时,会以Server Hello 报文作为应答。和客户端一样,在报文中包含SSL版本以及加密组件。服务器的加密组件内容是从接受到的客户端加密组件内筛选出来的。
  3. 之后服务器发送Certificate报文。报文中包含公开密钥证书。
  4. 最后服务器发送Server Hello Done报文通知客户端,最初阶段的SSL握手协商部分结束。
  5. SSL第一次握手结束之后,客户端以Client Key Exchange报文作为回应。报文中包含通信加密中使用的一种被称为Pre-master secret的随机密码串。该报文已用步骤3中的公钥进行加密。
  6. 接着客户端继续发送Change Cipher Spec报文。该报文会提示服务器,在此报文之后的通信会采用Pre-master secret密钥加密。
  7. 客户端发送Finish报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功,要以服务器是否能够正确解密该报文作为判定标准。
  8. 服务器同样发送Change Cipher Spec报文。
  9. 服务器同样发送Finished报文。
  10. 服务器和客户端的Finished报文交换完毕之后。SSL连接就算建立完成。当然,通信会受到SSL的保护。从此处开始进行应用层协议的通信,即发送HTTP请求。
  11. 应用层协议通信,即发送HTTP响应。
  12. 最后由客户端断开连接。断开连接时,发送close_notify报文。上图做了一些省略,这步之后再发送TCP FIN报文来关闭与TCP的通信。
  • 完整性
    在以上流程中,应用层发送数据时会附加一种叫做MAC(Message Authentication Code)的报文摘要。MAC能够查知报文是否遭到篡改,从而保护报文的完整性。

SSL和TLS:TLS是以SSL为原型开发的协议,目前主流版本是SSL3.0和TLS1.0

HTTP的追加功能协议和HTTP2.0

SPDY

Google在2010年发布,旨在消除HTTP的瓶颈

  • 一条连接上只可发送一个请求
  • 请求只能从客户端开始。客户端不可以接收除响应以外的指令
  • 请求/响应首部未经压缩就发送。首部信息越多延迟越大
  • 发送冗长的首部。每次互相发送相同的首部造成的浪费较多
  • 可任意选择数据压缩格式。非强制压缩发送

SPDY没有完全改写HTTP协议,而是在TCP/IP的应用层与传输层之间通过新加会话层的形式运作,考虑到安全问题,并规定通信中使用SSL。

SPDY设计


从而获得了以下功能

  • 多路复用流
    通过单一的TCP连接,可以无限制处理多个HTTP请求。所有请求的处理都在一条TCP连接上完成,因此TCP的处理效率得到提高
  • 赋予请求优先级
    SPDY不仅可以无限制地并发处理请求,还可以给请求逐个分配优先级顺序。这样主要是为了在发送多个请求时,解决因带宽低而导致响应变慢的问题
  • 压缩HTTP首部
    压缩HTTP请求和响应的首部。这样一来,通信产生的数据包流量和发送的字节数就更少了
  • 推送功能
    支持服务器主动向客户端推送数据的功能。这样,服务器可直接发送数据,而不必等待客户端的请求
  • 服务器提示功能
    服务器可以主动提示客户端请求所需的资源。由于在客户端发现资源之前就可以获知资源的存在,因此在资源已缓存等情况下,可以避免发送不必要的请求

全双工通信的WebSocket

不同于SPDY,WebSocket是应用层的另一种协议,替代了HTTP协议,具有以下特点:

  • 推送功能
    支持由服务器向客户端推送数据的推送功能。这样,服务器可直接发送数据,而不必等待客户端的请求
  • 减少通信量
    只要建立起WebSocket连接,就希望一直保持连接状态。和HTTP相比,不但每次连接时的总开销减少,而且由于WebSocket的首部信息很小,通信量也相应减少了

为了实现WebSocket通信,在HTTP连接建立之后,需要完成一次”握手”(Handshaking)的步骤

  • 握手·请求
    为了实现WebSocket通信,需要用到HTTP的Upgrade首部字段,告知服务器通信协议发生改变

GET /chat HTTP/1.1
HOST:server.example.com
Upgrade:websocket
Connection:Upgrade
Sec-WebSocket-Key:dGH1IHNhbXBsZSBub25jZQ==
Origin:http://example.com
Sec-WebSocket-Protocol:chat,superchat
Sec-WebSocket-Version:13

Sec-WebSocket-Key字段记录着握手过程中必不可少的键值。
Sec-WebSocket-Protocol中记录使用的子协议。
子协议按WebSocket协议标准在连接分开使用时,定义那些连接的名称。

  • 握手·响应
    对于之前的请求,返回状态码101 Switching Protocols的响应。

HTTP/1.1 101 Switching Protocols
Upgrade:websocket
Connection:Upgrade
Sec-WebSocket-Accept:s3pPLMBiTxaQ9kYGzzhZRbk+XOo=
Sec-WebSocket-Protocol:chat

Sec-WebSocket-Accept的字段值由握手中的Sec-WebSocket-Key字段值生成
成功握手确立WebSocket连接之后,通信不再使用HTTP的数据帧,而采用WebSocket独立的数据帧。

WebSocket通信流程:

HTTP2.0

协议基础

  • SPDY
  • HTTP Speed+Mobility
    由微软公司起草,用于改善并提高移动端通信时的通信速度和性能标准。它建立在Google公司提出的SPDY与WebSocket的基础之上
  • NetWork+Friendly HTTP Ugrade
    主要是在移动端通信时改善HTTP性能的标准

HTTP/2.0围绕着主要的7项技术进行讨论,大都倾向于采用以下协议技术。

压缩 SPDY、Friendly
多路复用 SPDY
TLS义务化 Speed+Mobility
协商 Speed+Mobility、Friendly
客户端拉拽(Client Pull)/服务器推送(Server Push) Speed+Mobility
流量控制 SPDY
WebSocket Speed+Mobility

请求首部字段:

首部字段名 说明
Accept 用户代理可处理的媒体类型
Accept-Charset 优先的字符集
Accept-Encoding 优先的内容编码
Accept-Language 优先的语言(自然语言)
Authorization Web认证信息
Expect 期待服务器的特定行为
From 用户的电子邮箱地址
Host 请求资源所在服务器
If-Match 比较实体标记(ETag)
If-Modified-Since 比较资源的更新时间
If-None-Match 比较实体标记(与If-Match相反)
If-Range 资源未更新时发送实体Byte的范围请求
If-Unmodified-Since 比较资源的更新时间(与If-Modified-Since相反)
Max-Forwards 最大传输逐跳数
Proxy-Authorization 代理服务器要求客户端的认证信息
Range 实体的字节范围请求
Referer 对请求中URI的原始获取方
TE 传输编码的优先级
User-Agent HTTP客户端程序的信息

响应首部字段:

首部字段名 说明
Accept-Ranges 是否接受字节范围请求
Age 推算资源创建经过时间
ETag 资源的匹配信息
Location 令客户端重定向至指定URI
Proxy-Authenticate 代理服务器对客户端的认证信息
Retry-After 对再次发起请求的时机要求
Server HTTP服务器的安装信息
Vary 代理服务器缓存的管理信息
WWW-Authenticate 服务器对客户端的认证信息

通用首部字段:

首部字段名 说明
Cache-Control 控制缓存的行为
Connection 逐跳首部、连接的管理
Date 创建报文的日期时间
Pragma 报文指令
Trailer 报文末端的首部一览
Transfer-Encoding 指定报文主体的传输编码方式
Upgrade 升级为其他协议
Via 代理服务器的相关信息
Warning 错误通知

实体首部字段:

首部字段名 说明
Allow 资源可支持的HTTP方法
Content-Encoding 实体主体适用的编码方式
Content-Language 实体主体的自然语言
Content-Length 实体主体的大小(单位:字节)
Content-Location 替代对应资源的URI
Content-MD5 实体主体的报文摘要
Content-Range 实体主体的位置范围
Content-Type 实体主体的媒体类型
Expires 实体主体过期的日期时间
Last-Modified 资源的最后修改日期时间
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 216,125评论 6 498
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,293评论 3 392
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 162,054评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,077评论 1 291
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,096评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,062评论 1 295
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,988评论 3 417
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,817评论 0 273
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,266评论 1 310
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,486评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,646评论 1 347
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,375评论 5 342
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,974评论 3 325
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,621评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,796评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,642评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,538评论 2 352

推荐阅读更多精彩内容