linux学习43-HTTP服务和APACHE2

HTTP服务和APACHE2

知识点

• 请求报文响应报文
• 错误码
• 请求重定向
• 编译安装
• 实现https
• curl工具

1. http协议

• http协议版本
  http/0.9, http/1.0, http/1.1（较多）, http/2.0（将来）

• http协议无状态

  1. stateless 无状态
     服务器无法持续追踪访问者来源
  2. 解决http协议无状态方法
     1. cookie：客户端存放
     2. session：服务端存放
        多服务器session解决方案
        1. 在调度器中记录cookie的id，始终将其分配到第一次访问的服务器
        2. 让服务器之间复制session信息，每台服务器都存放所有服务器的session
        3. 搭专用的session服务器（用到redis），需要实现主从，提高容错

• 协议查看或分析的工具
  tcpdump，wireshark，tshark

• http事务一次访问的过程

  1. 请求：request

     1. HTTP请求报文图示
        
     2. request报文语法格式

        <method> <request-URL> <version>
        <headers>
        
        <entity-body>
        

  2. 响应：response

     1. HTTP响应报文图示
        
     2. response报文语法格式：

        <version> <status> <reason-phrase>
        <headers>
        
        <entity-body>
        

  3. 参数说明

     1. method （获取服务器支持的动作curl -i -x OPTIONS）
        请求方法，标明客户端希望服务器对资源执行的动作GET、HEAD、POST等
        1. GET：从服务器获取一个资源
        2. HEAD：只从服务器获取文档的响应首部，相当于
        3. POST：向服务器输入数据，通常会再由网关程序继续处理
        4. PUT：将请求的主体部分存储在服务器中，如上传文件
        5. DELETE：请求删除服务器上指定的文档
        6. TRACE：追踪请求到达服务器中间经过的代理服务器
        7. OPTIONS：请求服务器返回对指定资源支持使用的请求方法
     2. version
        http协议版本：HTTP/<major>.<minor>
     3. status:
        三位数字，如200，301, 302, 404, 502; 标记请求处理过程中发生的情况
     4. reason-phrase
        状态码所标记的状态的简要描述
     5. headers
        每个请求或响应报文可包含任意个首部；每个首部都有首部名称，后面跟一个冒号，而后跟一个可选空格，接着是一个值
     6. entity-body
        请求时附加的数据或响应时附加的数据

• http协议状态码（status）分类

  1. 1xx：100-101 信息提示
  2. 2xx：200-206 成功
     1. 200
        成功，请求数据通过响应报文的entity-body部分发送;OK
  3. 3xx：300-305 重定向
     1. 301
        请求的URL指向的资源已经被删除；但在响应报文中通过首部Location指明了资源现在所处的新位置；Moved Permanently
     2. 302
        响应报文Location指明资源临时新位置 Moved Temporarily
     3. 304
        客户端发出了条件式请求，但服务器上的资源未曾发生改变，则通过响应此响应状态码通知客户端；客户端上有缓存，直接从缓存返回结果；Not Modified
  4. 4xx：400-415 错误类信息，客户端错误
     1. 401
        需要输入账号和密码认证方能访问资源；Unauthorized
     2. 403
        请求被网站禁止，不是防火墙禁止访问；Forbidden
     3. 404
        服务器无法找到客户端请求的资源；Not Found
  5. 5xx：500-505 错误类信息，服务器端错误
     1. 500
        服务器内部错误；Internal Server Error
     2. 502
        代理服务器从后端服务器收到了一条伪响应，如无法连接到网关；Bad Gateway
     3. 503
        服务不可用，临时服务器维护或过载，服务器无法处理请求
     4. 504
        网关超时 Gateway Time-out

• HTTP 首部字段（headers）
  首部字段同时存在于请求和响应报文内，并涵盖 HTTP 报文相关的内容信息。使用首部字段是为了给客服端和服务器端提供报文主体大小、所使用的语言、认证信息等内容

  1. 首部字段结构
     HTTP 首部字段是由首部字段名和字段值构成的，中间用冒号“：”分隔，字段值对应单个 HTTP 首部字段可以有多个值
     报文首部中出现了两个或以上具有相同首部字段名的首部字段时，在规范内尚未明确，根据浏览器内部处理逻辑的不同，优先处理的顺序可能不同，结果可能并不一致
  2. 首部的分类

     1. 通用首部
        请求报文和响应报文两方都会使用的首部

        首部字段	描述
        Date	报文的创建时间
        Connection	连接状态，如keep-alive, close
        Via	显示报文经过的中间节点（代理，网关），用于排除，查看哪个缓存服务器不能访问
        Cache-Control	控制缓存，如缓存时长
        MIME-Version	发送端使用的MIME版本
        Warning	错误通知

     2. 请求首部
        从客户端向服务器端发送请求报文时使用的首部。补充了请求的附加内容、客户端信息、请求内容相关优先级等信息

        首部字段	描述
        Accept	通知服务器自己可接受的媒体类型
        Accept-Charset	客户端可接受的字符集
        Accept-Encoding	客户端可接受编码格式，如gzip
        Accept-Language	客户端可接受的语言
        Client-IP	请求的客户端IP
        Host	请求的服务器名称和端口号
        Referer	跳转至当前URI的前一个URL
        User-Agent	客户端代理，浏览器版本

        条件式请求首部

        首部字段	描述
        Expect	允许客户端列出某请求所要求的服务器行为
        If-Modified-Since	自从指定的时间之后，请求的资源是否发生过修改
        If-Unmodified-Since	与上面相反
        If-None-Match	本地缓存中存储的文档的ETag标签是否与服务器文档的Etag不匹配
        If-Match	与上面相反

        安全请求首部

        首部字段	描述
        Authorization	向服务器发送认证信息，如账号和密码
        Cookie	客户端向服务器发送cookie
        Cookie2	用于说明请求端支持的cookie版本

        代理请求首部

        首部字段	描述
        Proxy-Authorization	向代理服务器认证

     3. 响应首部
        从服务器端向客户端返回响应报文时使用的首部。补充了响应的附加内容，也会要求客户端附加额外的内容信息
        信息性

        首部字段	描述
        Age	从最初创建开始，响应持续时长
        Server	服务器程序软件名称和版本

        协商首部：某资源有多种表示方法时使用

        首部字段	描述
        Accept-Ranges	服务器可接受的请求范围类型
        Vary	服务器查看的其它首部列表

        安全响应首部：

        首部字段	描述
        Set-Cookie	向客户端设置cookie
        Set-Cookie2	以上面相似
        WWW-Authenticate	来自服务器对客户端的质询列表

     4. 实体首部
        针对请求报文和响应报文的实体部分使用的首部。补充了资源内容更新时间等与实体有关的的信息

        首部字段	描述
        Allow	列出对此资源实体可使用的请求方法
        Location	告诉客户端真正的实体位于何处
        Content-Encoding	对主体执行的编码
        Content-Language	理解主体时最适合的语言
        Content-Length	主体的长度
        Content-Location	实体真正所处位置
        Content-Type	主体的对象类型，如text

        缓存相关：

        首部字段	描述
        ETag	实体的扩展标签
        Expires	实体的过期时间
        Last-Modified	最后一次修改的时间

     5. 扩展首部

• HTTP 无状态及解决方案 Cookie
  协议自身不对请求和响应之间的通信状态进行保存。也就是说在 HTTP 这个级别，协议对于发送过的请求或响应都不做持久化处理。这是为了更快地处理大量事务，确保协议的可伸缩性，而特意把 HTTP 协议设计成如此简单的。可是随着 Web 的不断发展，很多业务都需要对通信状态进行保存。于是引入了 Cookie 技术。

  1. Cookie 技术
     使用 Cookie 的状态管理Cookie 技术通过在请求和响应报文中写入 Cookie 信息来控制客户端的状态。Cookie 会根据从服务器端发送的响应报文内的一个叫做 Set-Cookie 的首部字段信息，通知客户端保存Cookie。
     当下次客户端再往该服务器发送请求时，客户端会自动在请求报文中加入 Cookie 值后发送出去。服务器端发现客户端发送过来的 Cookie 后，会去检查究竟是从哪一个客户端发来的连接请求，然后对比服务器上的记录，最后得到之前的状态信息
     1. cookie过期时间
        1. 会话cookie
           生命期在浏览器会话期间，关闭浏览器此cookie就会消失，一般不存储在硬盘上而是保存在内存里，当然这种行为并不是规范规定的。
        2. 持久性cookie
           若设置了过期时间，浏览器就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie仍然有效直到超过设定的过期时间，存储在硬盘上的cookie可以在不同的浏览器进程间共享
     2. 安全性
        1. 隐患
           在Web应用中，Cookie常用来标记用户或授权会话。因此，如果Web应用的Cookie被窃取，可能导致授权用户的会话受到攻击，例如跨站请求伪造（CSRF）

           跨站请求伪造（CSRF）
           如在不安全聊天室或论坛上的一张图片，它实际上是一个给你银行服务器发送提现的
           当你打开含有了这张图片的HTML页面时，如果你之前已经登录了你的银行帐号并且Cookie仍然有效（还没有其它验证步骤），你银行里的钱很可能会被自动转走。

        2. 应对方法
           1. 对用户输入进行过滤阻止XSS
           2. 任何敏感操作都需要确认
           3. 用于敏感信息的cookie只能拥有较短的生命期
     3. Set-Cookie首部字段
        1. 示例

           Set-Cookie: status=enable; expires=Fri, 24 Nov 2017 20:30:02 GMT; path=/;
           

        2. 键值描述
           1. NAME=VALUE
              赋予 Cookie 的名称和其值，此为必需项
           2. expires=DATE
              Cookie 的有效期，若不明确指定则默认为浏览器关闭前为止
           3. path=PATH
              将服务器上的文件目录作为Cookie的适用对象，若不指定则默认为文档所在的文件目录
           4. domain=域名
              作为 Cookie 适用对象的域名，若不指定则默认