http是什么?
http是计算机世界里专门在两点之间传输文字、图片、音视频等超文本数据的约定和规范。
http1.0
简单,应用广泛
无状态:好处和坏处-------cookie session
明文传输:好处和坏处
不安全
http1.1
长连接:减少tcp连接的重复建立和断开带来的开销,减轻了服务器端的负载
管道网络传输:减少整体的响应时间,但是会导致队头阻塞
瓶颈:
- 请求/响应头部(header)未经压缩就发送,首部信息越多延迟越大。只能压缩body的部分
- 发送冗长的头部,每次互相发送相同的头部造成的浪费较多;
- 服务器是按请求的顺序响应的,如果服务器响应慢,会导致客户端一直请求不到数据,也就是队头阻塞
- 没有请求优先级控制;
- 请求只能从客户端开始,服务器只能被动响应
http2:是基于https的,安全性有保障
http2针对http1的性能瓶颈,做了哪些优化呢?
- 头部压缩:如果你同时发出多个请求,它们的头是一样或相似的,那么,http2会消除重复的部分。就是所谓的hpack算法:在客户端和服务器同时维护一张头信息表,所有字段都会存入这个表,生成一个索引号,以后就不用发送同样字段了,只发送索引号,这样就提高速度了
- 二进制格式:http2不在像http1.1中的纯文本形式的报文,而是全面采用了二进制格式,头部和数据都是二进制,并统称为帧(frame):头信息帧和数据帧。这样虽然对人不太友好,但是对计算机非常友好,因为计算机只懂二进制,那么收到报文后,无需再将明文的报文转成二进制,而是直接解析二进制报文,增加了数据传输的效率
- http2中的数据包不是按顺序发送的,同一个连接里面的数据包,可能属于不同的回应。因此,必须对数据包做标记,指出它属于哪个回应。每个请求或回应的所有数据包,成为一个数据流。每个数据流都标记着一个独一无二的编号,其中规定客户端发出的数据流编号为奇数,服务器发出的数据流编号为偶数。客户端还可以指定数据流的优先级,优先级高的请求,服务器就先响应该请求
- 多路复用:http2可以在一个连接中并发多个请求或回应,而不是按照顺序一一对应。移除了http1.1中的串行请求,不需要排队等待,也就不会出现队头阻塞问题,降低了延迟,大幅提高了连接的利用率
- 服务器推送:服务器不再是被动的响应,也可以主动向客户端发送消息。比如,在浏览器刚请求html的时候,就提前把可能会用到的js、css文件等静态资源主动发给客户端,减少延迟的等待,也就是服务器推送(server push)
http3
http2的主要问题在于,多个http请求复用一个tcp连接,下层的tcp协议是不知道有多少个http请求的。所以一旦发生丢包现象,就会触发tcp的重传机制,这样在一个tcp连接中的所有http请求都必须等待这个丢了的包重传回来。
http1.1中的管道传输中如果有一个请求阻塞了,那么队列后请求也统统被阻塞了
http2多个请求复用一个tcp连接,一旦发生丢包,就会阻塞住所有的http请求
这都是基于tcp传输层的问题,所以http3把http下层的tcp协议改成了udp
udp是不管顺序,也不管丢包的,所以不会出现http1.1的队头阻塞和http2的一个丢包全部重传的问题
我们都知道udp是不可靠的,但基于udp的quic协议可以实现类似tcp的可靠性传输
- quic有自己的一套机制可以保证传输的可靠性。当某个流发生丢包时,只会阻塞这个流,其他流不会受到影响。
- tls3升级成了最新的1.3版本,头部压缩算法也升级成了qpack
- https建立一个连接,要花费6次交互,先是三次握手,然后是tls1.3的三次握手。quic直接把以往的6次交互合并成了3次,减少了交互次数。
http1.1的优化思路
- 通过缓存技术避免发送http请求
- 减少http请求的次数
- 通过压缩响应资源,降低传输资源的大小,提高效率
http和https有哪些区别?
1.http是明文传输,存在安全风险,https解决了http不安全的缺陷,在tcp和http之间加入了ssl/tls安全协议,使得报文能够加密传输。
2.http连接建立相对简单,tcp三次握手后便可进行http的报文传输。但是https在tcp三次握手之后,还需要ssl/tls的握手过程,才可进入加密报文传输。
3.http的端口号是80,https的端口号是443
4.https需要向ca(证书权威机构)申请数字证书,来保证服务器的身份是可信的。
https解决了http的哪些问题?
1.窃听风险:
2.篡改风险:
3.冒充风险:
https怎样解决上面三个风险的?
1.混合加密的方式实现信息的机密性,解决了窃听的风险
2.摘要算法的方式实现完整性,它能够为数据生成独一无二的指纹,解决了篡改的风险
3.将服务器的公钥放入到数字证书中,解决了冒充的风险
SSL/TLS协议的基本流程:
客户端向服务器索要并验证服务器的公钥
双方协商产生会话秘钥
双方采用会话秘钥进行加密通信
SSL/TLS协议建立的详细流程:
- ClientaHello
- 客户端向服务器发起加密通信请求,也就是clienthello请求
- 主要包括:
- 客户端支持的ssl/tls协议版本
- 客户端生成的随机数
- 客户端支持的密码套件列表,如rsa
- ServerHello
- 服务器收到客户端的请求后,向客户端发出响应,也就是serverhello
- 主要包括:
- 确认ssl/tls版本,如果浏览器不支持,则关闭加密通信
- 服务器生成的随机数
- 确认的密码套件列表,如rsa
- 服务器的数字证书
- 客户端回应
- 客户端收到服务器的回应后,首先通过浏览器或者操作系统中的ca公钥,确认服务器数字证书的证实性
- 如果证书没有问题,客户端会从数字证书中取出服务器的公钥,使用它加密报文,向服务器发送:
- 一个随机数,该随机数会被服务器公钥加密
- 加密通信算法改变通知,表示随后的信息都会用会话秘钥加密
- 客户段握手结束通知,表示客户端的握手阶段已经结束。这一项同时把之前所有内容的发生的数据做个摘要,用来供服务端校验。
- 上面的随机数是整个握手阶段的第三个随机数,这样服务器和客户端就同时有三个随机数,接着就用双方协商的加密算法,各自生成本次通信的会话秘钥。
- 服务器的最后回应
- 服务器收到客户端的第三个随机数后,通过协商的加密算法,计算出本次通信的会话秘钥。然后,向客户端发送最后的信息:
- 加密算法改变通知,表示随后的信息都将用会话秘钥加密通信。
- 服务器握手结束通知,表示服务器的握手阶段已经结束,这一项同时把之前所有内容的发生的数据做个摘要,用来供客户端校验。
- 服务器收到客户端的第三个随机数后,通过协商的加密算法,计算出本次通信的会话秘钥。然后,向客户端发送最后的信息:
至此,整个ssl/tls的握手阶段全部结束,接下来,客户端与服务器进入加密通信,就完全是使用普通的http协议,只不过是用会话秘钥加密内容。