http 协议知识记录
超文本传输协议(Hyper Text Transfer Protocol
,HTTP)是一个简单的请求-响应协议,它是基于 TCP 协议的应用层传输协议。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。
HTTP 是一种无状态 (stateless) 协议, HTTP 协议本身不会对发送过的请求和响应的通信状态进行持久化处理。这样做的目的是为了保持 HTTP 协议的简单性,从而能够快速处理大量的事务,提高效率。
HTTP 请求体是请求数据时发送给服务器的数据,毕竟向服务器拿数据,先要表明怎么要,以及要什么!
HTTP 请求体由:请求行 、请求头、请求体组成。
GET
:用于请求访问已经被 URI(统一资源标识符)识别的资源,可以通过 URL 传参给服务器。POST
:用于传输信息给服务器,主要功能与 GET 方法类似,但一般推荐使用 POST 方式。PUT
:传输文件,报文主体中包含文件内容,保存到对应 URI 位置。HEAD
:获得报文首部,与 GET 方法类似,只是不返回报文主体,一般用于验证 URI 是否有效。DELETE
:删除文件,与 PUT 方法相反,删除对应 URI 位置的文件。OPTIONS
:查询相应 URI 支持的 HTTP 方法。# Method URL Version 请求行
POST /httpLearn/postRequest HTTP/1.1
# Request Header 请求头
Host: 127.0.0.1:8080
User-Agent: apifox/1.0.0 (https://www.apifox.cn)
Content-Length: 126
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW
# Request Message 请求体
----WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="param"
post
----WebKitFormBoundary7MA4YWxkTrZu0gW
Get 请求没有请求体
# Method URL Version 请求行
GET /httpLearn/getRequest?param=123 HTTP/1.1
# Request Header 请求头
Host: 127.0.0.1:8080
User-Agent: apifox/1.0.0 (https://www.apifox.cn)
GET 与 POST 是我们常用的两种 HTTP Method,二者之间的区别主要包括如下五个方面:
HTTP 的响应报文是服务器返回的数据,必须先有请求体再有响应报文。
HTTP 响应报文由:状态行、响应头、响应体
组成。
# Version Response Code 状态行
HTTP/1.1 200 OK
# Response Header 响应头
Content-Type:text/plain;charset=UTF-8
Content-Length:31
Date:Wed, 19 Jan 2022 11:37:00 GMT
Keep-Alive:timeout=60
Connection:keep-alive
# Response Message 响应体
post request is ok,param = post
当我们在 web 浏览器的地址栏中输入:
www.baidu.com
,然后回车,到底发生了什么?
HTTP 协议运行在 TCP 之上,明文传输,客户端与服务器端都无法验证对方的身份。Https 是通过 SSL(Secure Socket Layer
, 安全套接层 )或 TLS(Transport Layer Security
, 安全层传输协议)的组合使用,加密 HTTP 的通信内容。属于通信加密,即在整个通信线路中加密。
HTTPS 采用共享密钥加密(对称)和公开密钥加密(非对称)两者并用的混合加密机制。若密钥能够实现安全交换,那么有可能会考虑仅使用公开密钥加密来通信。但是公开密钥加密与共享密钥加密相比,其处理速度要慢。
用户在浏览器里输入一个 https 网址,然后连接到 server 的 443 端口。
采用 HTTPS 协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面。
这套证书其实就是一对公钥和私钥,可以想象成一把钥匙和一个锁头,只是全世界只有你一个人有这把钥匙,你可以把锁头给别人,别人可以用这个锁把重要的东西锁起来,然后发给你,因为只有你一个人有这把钥匙,所以只有你才能看到被这把锁锁起来的东西。
这个证书其实就是公钥,只是包含了很多信息,如证书的颁发机构,过期时间等等。
由客户端的 TLS 来完成,首先会验证公钥是否有效,比如颁发机构,过期时间等等。如果发现异常,则会弹出一个警告框,提示证书存在问题。
如果证书没有问题,那么就生成一个随机值,然后用证书对该随机值进行加密,就好像上面说的,把随机值用锁头锁起来,这样除非有钥匙,不然看不到被锁住的内容。
用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。
服务端用私钥解密后,得到了客户端传过来的随机值(私钥),然后把内容通过该值进行对称加密,所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够厉害,私钥够复杂,数据就够安全。
服务段用私钥加密后的信息,可以在客户端被还原。
客户端用之前生成的私钥解密服务段传过来的信息,于是获取了解密后的内容,整个过程第三方即使监听到了数据,也无法解密信息。