http小记

最新推荐文章于 2022-04-16 17:06:23 发布
最新推荐文章于 2022-04-16 17:06:23 发布
阅读量3.6k 收藏
点赞数 1
分类专栏: Http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenliang0224/article/details/103140412
版权

一、 非常详细的http描述文档:https://blog.csdn.net/kebi007/article/details/103059900

看完该博客,你应该清楚http的传输报文格式,错误码、状态码表示的信息,只有这样才能对http出现的问题抽丝剥茧的分析。

 

二、本人从两个方面对http的报文进行分析,分别通过wireshark抓包、和浏览器上按F12(选择networking->headers):

1. wireshark抓包分析

1.1 对应的cap抓包文件:

详见:https://download.csdn.net/download/chenliang0224/11985050

1.2 抓包流程分析:

a. 客户端解析url("http://dev-oss-download.egtest.cn:8880/oss/ota_app_download/2019%2F09%2F16%2F20190829ARM-M4-1107.M4B"),获取"http://dev-oss-download.egtest.cn"的DNS域名主机地址(120.76.199.208),对应端口8880,和文件路径"/oss/ota_app_download/2019%2F09%2F16%2F20190829ARM-M4-1107.M4B";

b.客户端(地址:10.8.190.190)与主机服务器端(120.76.199.208:8880)3次握手建立连接(socket()->connect());

c.客户端发送http GET请求信息

GET http://dev-oss-download.egtest.cn:8880/oss/ota_app_download/2019%2F09%2F16%2F20190829ARM-M4-1107.M4B HTTP/1.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537(KHTML, like Gecko) Chrome/47.0.2526Safari/537.36
Host: dev-oss-download.egtest.cn
Connection: keep-alive

d.客户端收到http response应答信息,应答信息状态码未302,表示临时跳转

HTTP/1.1 302 Found
Server: nginx/1.10.0 (Ubuntu)
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
X-Powered-By: PHP/7.2.4
Cache-Control: no-cache, private
Date: Tue, 19 Nov 2019 03:25:21 GMT
Location: http://iot-upgrade-zhoutian.oss-cn-shenzhen.aliyuncs.com/2019/09/16/20190829ARM-M4-1107.M4B?security-token=CAIS9QF1q6Ft5B2yfSjIr5GMfvjhmKlshayGanT5omNsOutGmYn4qTz2IH9EfXZqBesYt%2FU0lWpY6PoalqFhS5hYWU3Na5PHRgmycUbzDbDasumZsJYm6vT8a0XxZjf%2F2MjNGZabKPrWZvaqbX3diyZ32sGUXD6%2BXlujQ%2Fbr4NwdGbZxZASjaidcD9p7PxZrrNRgVUHcLvGwKBXn8AGyZQhKwlMn2TwntPrvkp3AskKE1wfAp7VL99irEP%2BNdNJxOZpzadCx0dFte7DJuCwqsEcarfgs0PcaoGac74vNXQUJ%2BXOMPufS%2F8EqJgJlb%2B0gBL7EVmdcKCWr0BqAAU6L5LPJLAJ%2FLxXwt%2Bpgpgcadc956ajfS6z4zsI7zIQhkQQCAEsbqumlY%2FGc9gJiHkmT1qtUWTMh4S%2BYKiepaX4emqRRxUh9N3Ib18KGdhkjVKcbe%2F7uQWK1cwJ04yNypbBbz2bmjDliYRwnQd0uFSk%2FOyiS7qrEneONdi1Wtj2S&OSSAccessKeyId=STS.NR95BUuvM2nmhRHFc96djvLSK&Expires=1574133981&Signature=qdToKtX0pZ0R8F%2BE%2FZuIBz80kWg%3D

 

e. 客户端获取d步骤中的Location字段属性值
我们对其分析分为主机名、file、security-token、签名Signature:
主机名:

 http://iot-upgrade-zhoutian.oss-cn-shenzhen.aliyuncs.com

file:

 /2019/09/16/20190829ARM-M4-1107.M4B


security-token:

?security-token=CAIS9QF1q6Ft5B2yfSjIr5GMfvjhmKlshayGanT5omNsOutGmYn4qTz2IH9EfXZqBesYt%2FU0lWpY6PoalqFhS5hYWU3Na5PHRgmycUbzDbDasumZsJYm6vT8a0XxZjf%2F2MjNGZabKPrWZvaqbX3diyZ32sGUXD6%2BXlujQ%2Fbr4NwdGbZxZASjaidcD9p7PxZrrNRgVUHcLvGwKBXn8AGyZQhKwlMn2TwntPrvkp3AskKE1wfAp7VL99irEP%2BNdNJxOZpzadCx0dFte7DJuCwqsEcarfgs0PcaoGac74vNXQUJ%2BXOMPufS%2F8EqJgJlb%2B0gBL7EVmdcKCWr0BqAAU6L5LPJLAJ%2FLxXwt%2Bpgpgcadc956ajfS6z4zsI7zIQhkQQCAEsbqumlY%2FGc9gJiHkmT1qtUWTMh4S%2BYKiepaX4emqRRxUh9N3Ib18KGdhkjVKcbe%2F7uQWK1cwJ04yNypbBbz2bmjDliYRwnQd0uFSk%2FOyiS7qrEneONdi1Wtj2S&OSSAccessKeyId=STS.NR95BUuvM2nmhRHFc96djvLSK&Expires=1574133981

Signature:

&Signature=qdToKtX0pZ0R8F%2BE%2FZuIBz80kWg%3D

f.由于d中响应的信息执行了地址重定向跳转(状态码:302),所以重新解析步骤e中的Location的url信息;

 

g.客户端解析Localtion的url,获取"http://iot-upgrade-zhoutian.oss-cn-shenzhen.aliyuncs.com"的DNS域名主机地址(113.96.63.231)、对应端口80(http标准端口),和文件路径+security-token+Signature(详见e中的描述);

 

h.客户端(地址:10.8.190.190)第二次与主机服务器端(113.96.63.231:80)3次握手建立连接(socket()->connect());

 

i.客户端第二次发起http GET请求信息

GET /2019/09/16/20190829ARM-M4-1107.M4B?security-token=CAIS9QF1q6Ft5B2yfSjIr5GMfvjhmKlshayGanT5omNsOutGmYn4qTz2IH9EfXZqBesYt%2FU0lWpY6PoalqFhS5hYWU3Na5PHRgmycUbzDbDasumZsJYm6vT8a0XxZjf%2F2MjNGZabKPrWZvaqbX3diyZ32sGUXD6%2BXlujQ%2Fbr4NwdGbZxZASjaidcD9p7PxZrrNRgVUHcLvGwKBXn8AGyZQhKwlMn2TwntPrvkp3AskKE1wfAp7VL99irEP%2BNdNJxOZpzadCx0dFte7DJuCwqsEcarfgs0PcaoGac74vNXQUJ%2BXOMPufS%2F8EqJgJlb%2B0gBL7EVmdcKCWr0BqAAU6L5LPJLAJ%2FLxXwt%2Bpgpgcadc956ajfS6z4zsI7zIQhkQQCAEsbqumlY%2FGc9gJiHkmT1qtUWTMh4S%2BYKiepaX4emqRRxUh9N3Ib18KGdhkjVKcbe%2F7uQWK1cwJ04yNypbBbz2bmjDliYRwnQd0uFSk%2FOyiS7qrEneONdi1Wtj2S&OSSAccessKeyId=STS.NR95BUuvM2nmhRHFc96djvLSK&Expires=1574133981&Signature=qdToKtX0pZ0R8F%2BE%2FZuIBz80kWg%3D HTTP/1.1
Host: iot-upgrade-zhoutian.oss-cn-shenzhen.aliyuncs.com
Connection: keep-alive
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.67 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9

 

j.客户端收到http response应答信息,应答信息状态码未200,表示ok

HTTP/1.1 200 OK
Server: AliyunOSS
Date: Tue, 19 Nov 2019 03:25:21 GMT
Content-Type: application/octet-stream
Content-Length: 306864
Connection: keep-alive
x-oss-request-id: 5DD360A1B79FD632336A845A
Accept-Ranges: bytes
ETag: "19FFC6ED89A6DACC8A6DA921E926C97C"
Last-Modified: Mon, 16 Sep 2019 06:29:18 GMT
x-oss-object-type: Normal
x-oss-hash-crc64ecma: 13832429984862213917
x-oss-storage-class: Standard
Content-MD5: Gf/G7Ymm2syKbakh6SbJfA==
x-oss-server-time: 99

k.至此,通过第二次建立的socket句柄下载对应的文件。

 

2. 进入网页,按F12键分析http交互流程

       在浏览器上按F12(选择networking->headers),输入“http://dev-oss-download.egtest.cn:8880/oss/baomi.M4B”回车,具体信息如下

2.1 第一次请求http GET

第一次请求http response

第二次请求http GET

第二次请求http response

第二次请求security-token

 

JDSH0224
关注
专栏目录
HTTP学习小记
eswang的CSDN博客
08-12 143
HTTP, IP, TCP, URL,URI, 报文, Cookie
HTTP的一点笔记
weixin_45807072的博客
12-31 130
HTTP 结构简介 一、请求方法 HTTP的请求方法有哪些? GET POST HEAD PUT TRACE DELETE OPTIONS 下表描述了7种这样的方法。注意,有些方法的请求报文中有主体,有些则是无主题的请求。 方法 描述 是否包含主体 GET 从服务器获取一份文档 否 HEAD 只从服务器获取文档的首部 否 POST 向服务器发送...
设置Security中的token认证过滤器
qq_42218565的博客
07-15 1249
在实现MvcSecurityConfiguration的类configure(HttpSecurity http)方法中添加如下内容: http.exceptionHandling() .authenticationEntryPoint(new UnauthorizedEntryPoint()) .and() .csrf().disable() .logout()
SprintBoot Security 数据库验证请求token是否有效
℡メ㏑╭ァ小凯
04-16 1166
0、思路 1、jwt生成的token是永久的,每次登陆的时候需要把token存数据库,所以需要拦截每次请求带过来的token是否在数据库里面。 2、验证之前需要过滤掉哪些不需要校验的url地址,避免duird和swg等这样的地址也走数据验证权限了 1、定义权限验证功能类 package com.java.core.core.security; import java.io.IOException; import java.util.Date; import j...
Spring Security用户名密码登陆和token授权登陆两种实现
markfengfeng的博客
08-31 1万+
最近研究了一下Spring boot的web工程里通过Spring security做登陆验证。因为要满足授权登陆和用户名密码登陆两种方式,因此有一些配置和自定义的验证方式需要添加。这里简单说一下,主要留着备忘,之后有继续对这个框架研究再继续完善这份文档。 简单先说说spring security对于登陆验证的流程。 security本身带有一系列的拦截器,对于web资源的请求,都会根据secur...
JWT和Security 登录权限判断和token访问和让token失效
yujunlong3919的专栏
12-10 9820
文章目录Spring SecurityJWT无状态的单点登录()流程用到的方法configure(HttpSecurity http)登录 authenticationSuccessHandler loadUserByUsername通过token访问 doFilterInternal方法设置权限 Spring Security Spring Security是一个功能强大且高度可定制的身份验...
Spring Security Web : HttpSessionCsrfTokenRepository
Details Inside Spring
06-23 3772
概述 介绍 HttpSessionCsrfTokenRepository是一个基于HttpSession保存csrf token的存储库实现。它具有如下能力: saveToken 保存csrf token到http session loadToken 从http session中提取csrf token generateToken 生成csrf token,值为一个随机UUID 继承关系 使...
python进行爬虫小记
01-15
requests库是发送HTTP请求的基础,可以用来获取网页内容。例如,使用`requests.get()`方法可以获取指定URL的网页内容,同时设置headers参数以模拟浏览器行为,避免被网站识别为机器人。在处理中文编码问题时,可能...
Cookie 小记
12-07
在后续的HTTP请求中,浏览器会自动将该域下的所有Cookie信息附带在请求头中发送给服务器。开发者可以通过设置Cookie的过期时间来控制其生命周期。 标题中提到的问题是:是否可以通过代码像清理Session那样清除...
个人小金库
12-18
小金库的信息统一放在随机文件中,该随机文件的数据项有记录ID ,发生日期,发生事件,操作金额和余额等信息。每记录一次收支,文件要增加一条记录,并计算一次余额 程序可创建该文件并添加新收入或支出信息,可进行各种查询,统计,输出流水账等信息。
简易android聊天工具
06-14
对应博客:android如何制作出一个简单的点对点聊天app,我也不知道怎么贴链接。https://blog.csdn.net/zouh613/article/details/51487481
spirng-boot中,基于既有的token验证方式,利用spring-security实现权限系统
Cowboy
03-27 1万+
非常感谢  https://segmentfault.com/a/1190000007751220 Spring Boot技术学习 https://www.itkc8.com 用过spring-security的都应该能感觉到,spring-security把authentication和authorization封装的比较死。默认的authorization是基于session的。利用ses...
java token身份认证_java – 基于Spring Security Token的身份验证
weixin_34194499的博客
02-13 330
以下是我能够实现基于令牌的身份验证和基本身份验证的方法SpringSecurityConfig.java@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter{@Overridepublic void configure(final Authentication...
简单易懂的Security Token Service实例以及介绍
makeuknow
09-29 8504
首先我们来说说STS(Security Token Service)的最简生命周期,当然这是要基于WIF(Windows Identity Foundation)框架的。 一.  分析传入数据的可用性,并创建SignInRequestMessage WSFederationMessage提供CreateFromUri以及CreateFromNameValueCollection等简单的
java token身份认证,基于Spring Security Token的身份验证
weixin_35863455的博客
02-16 334
I have a rest api where I am authenticating using spring security Basic Authorization where client sends username and password for each request.Now, I wanted to implement token based authentication wh...
springboot + spring security验证token进行用户认证
热门推荐
孟林洁的博客
11-23 6万+
核心组件 SecurityContextHolder SecurityContextHolder是spring security最基本的组件。用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限等这些都被保存在SecurityContextHolder中。SecurityContextHolder默认是使用ThreadLoc...
protobuff使用小记
最新发布
05-31
下面是使用Protobuf的一些小记: 1. 定义消息格式 首先,需要定义消息格式,以便Protobuf可以将数据序列化和反序列化。消息格式定义在.proto文件中,使用protobuf语言编写。例如,下面是一个简单的消息格式定义: ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值