一:基础部分

1.1 万维网

  • 三大构建技术(基本组成部分)
    • URL:统一资源定位器
    • HTTP协议
    • HTML:超文本标识语言

HTML好比是一座座房子,URL是房子的门牌号,HTTP协议就连接房子的道路;这样就形成了一个点对点沟通的通信方式,完成通信闭环。

1.2 Http协议简介

超文本传输协议(HyperText Transfer Protocol,缩写:HTTP)是一种用于分布式、协作式和超媒体信息系统的应用协议。

HTTP是万维网的数据通信的基础。

1.3 Http协议概述

HTTP是一个客户端(终端用户)和服务器端(网站)请求和应答的标准。

1
2
3
4
5
6
7
例如:通过使用浏览器,客户端发起一个HTTP请求到服务器上的指定端口(默认端口号:80)。

我们称之为这个客户端为用户代理程序(User Agent);

应答的服务器上存储着一些资源,比如HTML文件和图像,我们称这个应答服务器为源服务器(Origin Server);

在用户代理和源服务器中间可能存在多个“中间层”,比如代理服务器、网关、隧道;
1
2
3
通常,由HTTP客户端发起一个请求,创建一个到服务器指定端口的TCP连接。
HTTP服务器在该端口监听客户端请求。
一旦收到请求,服务器会向客户端返回一个状态,比如"HTTP/1.1 OK",以及返回的内容,如请求的文件、错误消息及其他信息。

1.4 URI URL URN

URI 包括 URL 和 URN 两个类别,URL 是 URI的子集;

因此URL一定是URI,而URI不一定是URL;

  • URI = Universal Resource Identifier 统一资源标志符,用来标识抽象或物理资源的一个紧凑字符串
  • URL = Universal Resource Locator 统一资源定位符,一种定位资源的主要访问机制的字符串
  • URN = Universal Resource Name 统一资源名称,通过特定命名空间中的唯一名称或ID来标识资源。
image-20221206142555044

举个栗子:URN就是身份证,URL是家庭住址;URN可以标识一个人,而快递员可以通过URL把货送到你手上;

再举个栗子:计算机网络 Http协议 | 爱影客 是个URL,通过这个链接可以告诉CDN(内容分发网络)找到这篇博客的所在地,并且还可以告知用HTTP协议访问。

二:Http工作原理

Http协议定义Web客户端,如何从Web服务器请求Web页面,以及服务器如何把Web页面传送给客户端。Http协议采用了请求/响应模型。

客户端向服务器发送一个请求报文,请求报文包含请求的方法、URL、协议版本、请求头部和请求数据。

服务器以一个状态行为作为响应,响应的内容包括协议的版本、成功或者错误代码、服务器信息、响应头部和响应数据。

三:Http工作流程

  1. 客户端连接到Web服务器
    • 一个HTTP客户端,通常为浏览器,与Web服务器的HTTP端口(默认为80)建立一个TCP套接字连接。例如,http://aiyingke.cn。
  2. 发送HTTP请求
    • 通过TCP套接字,客户端向Web服务器发送一个文本的请求报文,一个请求报文由请求行、请求头部、空行和请求数据4部分组成。
  3. 服务器接受请求并返回HTTP响应
    • Web服务器解析请求,定位请求资源。服务器将资源复本写到TCP套接字,由客户端读取。一个响应由状态行、响应头部、空行和响应数据4部分组成。
  4. 释放连接TCP连接
    • 若connection 模式为close,则服务器主动关闭TCP连接,客户端被动关闭连接,释放TCP连接;
    • connection 模式为keepalive,则该连接会保持一段时间,在该时间内可以继续接收请求;
  5. 客户端浏览器解析HTML内容
    • 客户端浏览器首先解析状态行,查看表明请求是否成功的状态代码。然后解析每一个响应头,响应头告知以下为若干字节的HTML文档和文档的字符集。客户端浏览器读取响应数据HTML,根据HTML的语法对其进行格式化,并在浏览器窗口中显示。

四:Http 请求方式

4.1 GET

向指定的资源发出“显示”请求。使用GET方法应该只用在读取数据,而不应当被用于产生“副作用”的操作中,比如被网络爬虫所攻击;

4.2 HEAD

与GET方法一样,都是向服务器发出指定资源的请求。只不过服务器将不传回资源的本文部分。它的好处在于,使用这个方法可以在不必传输全部内容的情况下,就可以获取其中“关于该资源的信息”(元信息或称元数据)。

4.3 POST

向指定资源提交数据,请求服务器进行处理(例如提交表单或者上传文件)。数据被包含在请求本文中。这个请求可能会创建新的资源或修改现有资源,或二者皆有。

4.4 PUT

向指定资源位置上传其最新内容。

4.5 DELETE

请求服务器删除Request-URI所标识的资源。

4.6 TRACE

回显服务器收到的请求,主要用于测试或诊断。

4.7 OPTIONS

这个方法可使服务器传回该资源所支持的所有HTTP请求方法。用’*’来代替资源名称,向Web服务器发送OPTIONS请求,可以测试服务器功能是否正常运作。

4.8 CONNECT

HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。通常用于SSL加密服务器的链接(经由非加密的HTTP代理服务器)。

五:Http 响应状态码

所有HTTP响应的第一行都是状态行,依次是当前HTTP版本号,3位数字组成的状态代码,以及描述状态的短语,彼此由空格分隔。

六:Https 协议

6.1 基础常识

  • HTTP默认端口的80,HTTPS的默认端口是443
  • HTTPS 可看作是 HTTP + TLS(层),TLS是运行在TCP之上的,所有的内容都经过加密。
  • HTTPS使用了对称加密和非对称加密混合使用的方式

6.2 工作流程

HTTPS 在内容传输的加密上使用的是对称加密,非对称加密只作用在证书验证阶段。

  • 证书验证阶段:
    • 浏览器发起https请求;
    • 服务器接收到请求,返回https证书;
    • 客户端验证证书是否合法,若不合法则提示警告;
  • 数据传输阶段:
    • 当证书验证合法后,浏览器在本地生成随机数;
    • 通过公钥加密随机数,并把加密后的随机数传输到服务器;
    • 服务器通过私钥对随机数进行解密;
    • 服务器通过随机数构造对称机密算法,对数据进行加密后传输给浏览器。

6.3 为什么需要证书认证?

  • 基于安全考虑,在非对称加密阶段是需要传输公钥的,传输公钥的过程中;一旦存在中间人攻击,把公钥替换了,被攻击机拿到了假公钥去加密数据,之后中间人再利用私钥去解密,照样是不安全的。

  • 证书认证的作用就是为了分辨对方是不是中间人黑客!

  • 举个栗子:生活中,有公证中心这样的概念,因为它公信力强大家才去相信他,公证中心给每一个颁布一个证书,以此标识一个人的身份,这个证书中除了个人的基本信息,还包括公钥!

  • 那么如何去保证证书的安全传输问题呢?解决的方案是数字签名。

  • 数字签名的核心思想:把公钥和个人信息通过Hash算法转换成消息摘要。

  • 这样即使遇见中间人攻击,也很难去修改签名。即使中间人黑客将消息摘要中的个人信息替换为自己的,将会导致消息摘要产生巨大的变动,这样便失去了我们的信任。

  • 这样就无懈可击了嘛?不是的,倘若中间人黑客把整个消息摘要都替换了呢?