针对图解HTTP书籍,整理出重难点,以及知识框架,自我学习,不断完善......
图解HTTP目录
第1章 了解Web及网络基础
第2章 简单的HTTP协议
第3章 HTTP报文内的HTTP信息
第4章 返回结果的HTTP状态码
第5章 与HTTP协作的Web服务器
第6章 HTTP首部
第7章 确保Web安全的HTTPS
第8章 确认访问用户身份的认证
第9章 基于HTTP的功能追加协议
第10章 构建Web内容的技术
第11章 Web的攻击技术
第一章:了解Web及网络基础
区分URL和URI:
URL 是 URI 的子集。
任何东西,只要能够唯一地标识出来,都可以说这个标识是 URI 。如果这个标识是一个可获取到上述对象的路径,那么同时它也可以是一个 URL ;但如果这个标识不提供获取到对象的路径,那么它就必然不是 URL 。
第二章:简单的HTTP协议
区分短连接,长连接
在HTTP/1.0中,每个TCP连接只能发送一个请求,一旦服务器回应,则连接关闭,称为短连接。
然而新建TCP连接开销很大,需要三次握手,并且开始发送时速率较慢(slow start),所以在HTTP/1.0中,效率较差。
为了解决这个问题,在HTTP/1.0中加了一个非标准字段:
Connection: keep-alive
直到服务器或者客户端主动关闭连接,才关闭TCP,称之为长连接。
在HTTP/1.1中,引入了持久连接,不用显式声明Connection,TCP连接默认不关闭。
当客户端发送:
Connection: close
或者客户端和服务器在一段时间内没有活动,则关闭TCP连接。
关于管道(pipelining)机制:
基于持久连接,管道机制允许客户端并行发送多个请求,而不需要客户端发送一个请求,服务器响应这个请求之后,才能发送下一个请求。
关于Cookie:
HTTP是无状态(stateless)的,不对请求和响应之间的状态进行保存,不保存之前一切的请求和响应信息。
通过使用Cookie技术,可以保存状态:
服务器端在响应报文中创建Set-Cookie字段,通知客户端保存Cookie。
下一次客户端发送请求时,会在请求报文中加入Cookie再发送出去。
服务器根据客户端发来的Cookie,通过查询比对,得知之前的状态信息。
注意:长连接只是TCP不再频繁断开,但是不知道以前的状态,Cookie是保留以前状态的,这样是利于请求的,就是说长连接有益于TCP,Cookie有利于每次请求。
第三章:HTTP报文内的HTTP信息
第四章:返回结果的HTTP状态码
第五章与HTTP协作的Web服务器
什么叫做网关?
网关就是在你的数据包要出内网到外网的时候(就是数据要到WAN 的时侯)就要在各个路由器上进行路由,这时本地你就得发包给本地网关,再让网关继续发包给下一个路由器,直到目的地。简单的说吧,网关就是邮局,你想从北京寄信到上海的话,你就得让邮局给你转发到河北等等,直到上海,网关就是帮你传输数据包,并负责像邮局一样选路到达目的地的设备。
网关和路由的区别
网关是默认的数据出口。如果你的数据不知道往哪里走的话,那么他会去默认网关那里报道。
路由器包含许多这样的网关,其中之一是默认网关。也就是说数据到了路由器以后,如果不知道自己下一步该怎么走了,那么他会去默认网关那里去报道。
但路由器还包含许多其他的网关,比如数据要去买饮料,那么路由器就送数据去小卖铺。如果数据内急,那么路由器送数据去卫生间。这种起点-终点的对应就叫路由(routing)。这也是路由器(router)名字的由来。
第七章:确保Web安全的HTTPS
一、公钥算法与私钥算法
1、私钥算法
私钥加密算法,又称 对称加密算法,因为这种算法解密密钥和加密密钥是相同的。也正因为同一密钥既用于加密又用于解密,所以这个密钥是不能公开的。
2、公钥算法
公钥加密算法,也就是 非对称加密算法,这种算法加密和解密的密码不一样,一个是公钥,另一个是私钥:
- 公钥和私钥成对出现
- 公开的密钥叫公钥,只有自己知道的叫私钥
- 用公钥加密的数据只有对应的私钥可以解密
- 用私钥加密的数据只有对应的公钥可以解密
- 如果可以用公钥解密,则必然是对应的私钥加的密
- 如果可以用私钥解密,则必然是对应的公钥加的密
公钥和私钥是相对的,两者本身并没有规定哪一个必须是公钥或私钥。
二、实现数据的安全传输
要实现数据的安全传输,当然就要对数据进行加密了。
如果使用对称加密算法,加解密使用同一个密钥,除了自己保存外,对方也要知道这个密钥,才能对数据进行解密。如果你把密钥也一起传过去,就存在密码泄漏的可能。所以我们使用非对称算法,过程如下:
- 首先 接收方 生成一对密钥,即私钥和公钥;
- 然后,接收方 将公钥发送给 发送方;
- 发送方用收到的公钥对数据加密,再发送给接收方;
- 接收方收到数据后,使用自己的私钥解密。
由于在非对称算法中,公钥加密的数据必须用对应的私钥才能解密,而私钥又只有接收方自己知道,这样就保证了数据传输的安全性。
三、对信息进行数字签名
除了保证数据的安全传输之外,公钥体系的另一个用途就是对数据进行签名。通常“数字签名”是用来验证发送方的身份并帮助保护数据的完整性。
例如:一个发送者 A 想要传些资料给大家,用自己的私钥对资料加密,即签名。这样一来,所有收到资料的人都可以用发送者的公钥进行验证,便可确认资料是由 A 发出来的了。(因为只有A使用私钥签名得到的信息,才能用这个公钥来解) 采用数字签名,可以确认两点:
- 保证信息是由签名者自己签名发送的,签名者不能否认或难以否认。
- 保证信息自签发后到收到为止未曾作过任何修改。
之所以可以确认这两点,是因为用公钥可以解密的必然是用对应的私钥加的密,而私钥只有签名者持有。
四、公钥算法的缺点
现实中,公钥机制也有它的缺点,那就是效率非常低,比常用的私钥算法(如 DES 和 AES)慢上一两个数量级都有可能。所以它不适合为大量的原始信息进行加密。为了同时兼顾安全和效率,我们通常结合使用公钥算法和私钥算法:
- 首先,发送方使用对称算法对原始信息进行加密。
- 接收方通过公钥机制生成一对密钥,一个公钥,一个私钥。
- 接收方 将公钥发送给 发送方。
- 发送方用公钥对对称算法的密钥进行加密,并发送给接收方。
- 接收方用私钥进行解密得到对称算法的密钥。
- 发送方再把已加密的原始信息发送给接收方。
- 接收方使用对称算法的密钥进行解密。
总结:
-
每个用户都有一对私钥和公钥。
- 私钥用来进行解密和签名,是给自己用的。
- 公钥由本人公开,用于加密和验证签名,是给别人用的。
-
当该用户发送文件时,用私钥签名,别人用他给的公钥解密,可以保证该信息是由他发送的。即数字签名。
-
当该用户接受文件时,别人用他的公钥加密,他用私钥解密,可以保证该信息只能由他看到。即安全传输。
第八章:确认访问用户身份的认证
第九章:基于HTTP的功能追加协议
谷歌宣布正在开发一种新的网络协议“SPDY”(发音同“speedy”),以最小化网络延迟,提升网络速度,优化用户的网络使用体验。
SPDY并不是一种用于替代HTTP的协议,而是对HTTP协议的增强。新协议的功能包括数据流的多路复用、请求优先级,以及HTTP包头压缩。谷歌已经开发一个网络服务器原型机,以及支持SPDY协议的Chrome浏览器版本。
谷歌表示,引入SPDY协议后,在实验室测试中页面加载速度比原先快64%。这一数据基于对全球25大网站的下载测试。目前SPDY团队已经开发了一个可使用的原型产品,谷歌决定开放这一项目,希望“网络社区能积极参与、提供反馈及帮助”。
第十章:构建Web内容的技术
第十一章Web的攻击技术
扫一扫
1347
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
