1,Http协议
概念:
http协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,用于从万维网(www)传输超文本到本地浏览器的传送协议,http协议是一个应用层协议,由请求和响应构成,是一个标准的c/s(客户端/服务器)模型。
特点:
- 简单快速:客户端向服务器发起请求时,只需要传请求方法和路径。请求方法包括get、post、put、delete、head,每种方法规定了客户端与服务器联系的类型。由于http协议简单,使得http服务器的程序规模小,因而通信速度很快。
- 灵活:http允许传输任意类型的数据对象,正在传输的类型由Content-Type加以标记。
- 无连接:无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开连接。采用这种方式可以节省传输时间。
- 无状态:http协议是无状态协议,无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就较快。
- 支持C/S(Client/Server)模式。
状态码:
状态代码有三位数字组成,第一个数字定义了响应的类别,共分五种类别:
1xx:指示信息 - 表示请求已接收,继续处理。
2xx:成功 - 表示请求已被成功接收、理解、接受。
3xx:重定向 - 要完成请求必须进行更进一步的操作。
4xx:客户端错误 - 请求有语法错误或请求无法实现。
5xx:服务器端错误 - 服务器未能实现合法的请求。
常见的状态码:
200 OK //客户端请求成功
400 Bad Request //客户端请求有语法错误,不能被服务器所理解
401 Unauthorized //请求未经授权,这个状态代码必须和WWW-Authenticate报头域一起使用
403 Forbidden //服务器收到请求,但是拒绝提供服务
404 Not Found //请求资源不存在,eg:输入了错误的URL
500 Internal Server Error //服务器发生不可预期的错误
503 Server Unavailable //服务器当前不能处理客户端的请求,一段时间后可能恢复正常
URL和URI
URI: 是uniform resource identifier,统一资源标识符,用来唯一的标识一个资源。
URL: URL是uniform resource locator,统一资源定位器,它是一种具体的URI,即URL可以用来标识一个资源,而且还指明了如何locate这个资源。
1.传送协议。
2.层级URL标记符号(为[//],固定不变)
3.访问资源需要的凭证信息(可省略)
4.服务器。(通常为域名,有时为IP地址)
5.端口号。(以数字方式表示,若为HTTP的默认值“:80”可省略)
6.路径。(以“/”字符区别路径中的每一个目录名称)
7.查询。(GET模式的窗体参数,以“?”字符为起点,每个参数以“&”隔开,再以“=”分开参数名称与数据,通常以UTF8的URL编码,避开字符冲突的问题)
8.片段。以“#”字符为起点
例如:
以http://www.luffycity.com:80/news/index.html?id=250&page=1 为例,
http,是协议;
www.luffycity.com,是服务器;
80,是服务器上的默认网络端口号,默认不显示;
/news/index.html,是路径(URI:直接定位到对应的资源);
?id=250&page=1,是查询。
大多数网页浏览器不要求用户输入网页中“http://”的部分,因为绝大多数网页内容是超文本传输协议文件。同样,“80”是超文本传输协议文件的常用端口号,因此一般也不必写明。一般来说用户只要键入统一资源定位符的一部分(www.luffycity.com:80/news/index.html?id=250&page=1)就可以了。
http八种请求方法
1 GET
发送请求来获得服务器上的资源,请求体中不会包含请求数据,请求数据放在协议头中。另外get支持快取、缓存、可保留书签等。幂等
2 POST
和get一样很常见,向服务器提交资源让服务器处理,比如提交表单、上传文件等,可能导致建立新的资源或者对
原有资源的修改。提交的资源放在请求体中。不支持快取。非幂等
3 HEAD
本质和get一样,但是响应中没有呈现数据,而是http的头信息,主要用来检查资源或超链接的有效性或是否可以可达、检
查网页是否被串改或更新,获取头信息等,特别适用在有限的速度和带宽下。
4 PUT
和post类似,html表单不支持,发送资源与服务器,并存储在服务器指定位置,要求客户端事先知
道该位置;比如post是在一个集合上(/province),而put是具体某一个资源上(/province/123)。所以put是安全的,
无论请求多少次,都是在123上更改,而post可能请求几次创建了几次资源。幂等
5 DELETE
请求服务器删除某资源。和put都具有破坏性,可能被防火墙拦截。如果是https协议,则无需担心。幂等
6 CONNECT
HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。就是把服务器作为跳板,去访问其他网页
然后把数据返回回来,连接成功后,就可以正常的get、post了。
7 OPTIONS
获取http服务器支持的http请求方法,允许客户端查看服务器的性能,比如ajax跨域时的预检等。
8 TRACE
回显服务器收到的请求,主要用于测试或诊断。一般禁用,防止被恶意攻击或盗取信息。
GET和 POST比较
| GET | POST |
|---|---|
| 点击返回或者刷新按钮:没有影响 | 数据会重新提交 |
| 缓存/添加书签: 可以 | 不可以 |
| 历史记录:有 | 无 |
| 编码类型:application/x-www-form-urlencoded | application/x-www-form-urlencoded 或 multipart/form-data。为二进制数据使用 多重编码 |
| 是否幂等:幂等 | 非幂等 |
| 长度限制:http协议没有限制,但是实际浏览器或服务,最大2048 | 理论上没有,可能会收到服务器配置或内存限制 |
| 数据类型限制:只能ASCII,非ascii都要编码传输 | 没有限制,允许二进制数据 |
| 安全性:数据全部展示在url中,不安全 | 相比get,通过request body传递数据,比较安全 |
| 可见性:可见 | 不可见 |
对六种方法的再次说明和应用场景
1,GET:
GET可以说是最常见的了,它本质就是发送一个请求来取得服务器上的某一资源。资源通过一组HTTP头和呈现据(如HTML文本,或者图片或者视频等)返回给客户端。
GET请求中,永远不会包含呈现数据。
2,HEAD:
HEAD和GET本质是一样的,区别在于HEAD不含有呈现数据,而仅仅是HTTP头信息。有的人可能觉得这个方法没什么用,其实不是这样的。
想象一个业务情景:欲判断某个资源是否存在,我们通常使用GET,但这里用HEAD则意义更加明确。
3,PUT:
这个方法比较少见。HTML表单也不支持这个。本质上来讲, PUT和POST极为相似,都是向服务器发送数据,但它们之间有一个重要区别,
PUT通常指定了资源的存放位置,而POST则没有,POST的数据存放位置由服务器自己决定。举个例子:如一个用于提交博文的URL,/addNew。
如果用PUT,则提交的URL会是像这样的”/addNew/abc123”,其中abc123就是这个博文的地址。而如果用POST,则这个地址会在提交后由服务器告知客户端。
目前大部分博客都是这样的。显然,PUT和POST用途是不一样的。具体用哪个还取决于当前的业务场景。
4,DELETE:
删除某一个资源。基本上这个也很少见,不过还是有一些地方比如amazon的S3云服务里面就用的这个方法来删除资源。
5,POST:
向服务器提交数据。这个方法用途广泛,几乎目前所有的提交操作都是靠这个完成。
6,OPTIONS:
这个方法很有趣,但极少使用。它用于获取当前URL所支持的方法。若请求成功,则它会在HTTP头中包含一个名为“Allow”的头,值是所支持的方法,如“GET, POST”。
1、GET /url/list 查看
2、POST /url/create 创建
3、PUT /url/update 更新
4、DELETE /url/delete 删除
5、HEAD /url/is_exists 检查资源
6、PATCH /url/update_by_id 更新某些字段
7、OPTIONS /url/get_methods 检查请求方式
一次完整的http请求
10.1 建立TCP连接(包含两个步骤)
在http工作开始之前,客户端首先要通过网络与服务器建立连接,该连接是通过tcp来完成的,该协议与ip协议共同构建Internet,即著名的tcp/ip协议族,因此Internet又被称作是tcp/ip网络。
http是比tcp更高层次的应用层协议,根据规则,只有低层协议建立之后才能进行更高层协议的连接,因此首先要建立tcp连接, 一般tcp连接的端口号是80,tcp连接中我们比较熟悉的就是三次握手。
一旦建立了tcp连接, 客户端就会向服务器发送请求命令:
例如:GET/sample/hello.jsp HTTP/1.1
10.2 客户端发送请求头信息
客户端发送其请求命令之后,还要以头信息的形式向服务器发送一些别的信息,这些信息用来描述自己。之后客户端发送了一空白行来通知服务器,表示它已经结束了该头信息的发送。若是post请求,还会在发送完请求头信息之后发送请求体
10.3 服务器应答
客户端向服务器发出请求后, 服务器会向客户机回送应答。
HTTP/1.1 200 OK
应答的第一部分是协议的版本号和应答状态码。
10.4 服务器发送应答头信息
正如客户端会随同请求发送关于自身的信息一样,服务器也会随同应答向用户发送关于它自己的数据及被请求的文档,最后以一个空白行来表示头信息发送到此结束。
10.5 服务器向客户端发送数据
服务器向浏览器发送头信息后,它就以Content-Type应答头信息所描述的格式发送用户所请求的实际数据。
10.6 服务器关闭tcp连接
一般情况下,一旦服务器向浏览器发送了请求数据,它就要关闭tcp连接。如果请求头信息加入了这行代码
Connection:keep-alive,tcp连接在发送后将仍然保持打开状态。客户端可以继续通过相同的连接发送请求,保持连接节省了为每个请求建立新连接所需的时间,还节约了网络带宽。
原文链接:
https://blog.csdn.net/u014294681/article/details/86585326
HTTPS
概念:
HTTPS是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信,利用SSL/TLS建立全信道,加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的隐私与完整性。
特点:
- 内容加密:采用混合加密技术,中间者无法直接查看明文内容
- 验证身份:通过证书认证客户端访问的是自己的服务器
- 保护数据完整性:防止传输的内容被中间人冒充或者篡改
优点:
(1)使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;
(2)HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。
(3)HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。
(4)谷歌曾在2014年8月份调整搜索引擎算法,并称“比起同等HTTP网站,采用HTTPS加密的网站在搜索结果中的排名将会更高”。
缺点:
(1)HTTPS协议握手阶段比较费时,会使页面的加载时间延长近50%,增加10%到20%的耗电;
(2)HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;
(3)SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。
(4)SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗。
(5)HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样可行。
工作原理
(1)客户使用https的URL访问Web服务器,要求与Web服务器建立SSL连接。
(2)Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
(3)客户端的浏览器与Web服务器开始协商SSL连接的安全等级,也就是信息加密的等级。
(4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
(5)Web服务器利用自己的私钥解密出会话密钥。
(6)Web服务器利用会话密钥加密与客户端之间的通信。
原文链接:
https://www.cnblogs.com/wqhwe/p/5407468.html
加密技术
TLS/SSL
散列hash函数
该类函数特点是函数单向不可逆、对输入非常敏感、输出长度固定,针对数据的任何修改都会改变散列函数的结果,用于防止信息篡改并验证数据的完整性。在信息传输过程中,散列函数不能单独实现信息防篡改,因为明文传输,中间人可以修改信息之后重新计算信息摘要,因此需要对传输的信息以及信息摘要进行加密。
对称加密:加密和解密的秘钥使用的是同一个.
常见的有 AES-CBC、DES、3DES、AES-GCM 等,信息的加密和解密用相同的密钥,掌握密钥才能获取信息。在对称加密中,信息安全的基础是保证密钥的安全。
优点: 算法公开、计算量小、加密速度快、加密效率高
缺点: 在数据传送前,发送方和接收方必须商定好秘钥,然后 使双方都能保存好秘钥。其次如果一方的秘钥被泄露,那么加密信息也就不安全了。另外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的唯一秘钥,这会使得收、发双方所拥有的钥匙数量巨大,密钥管理成为双方的负担
非对称加密:与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)
算法特点是,密钥成对出现,一般称为公钥(公开)和私钥(保密)。因此掌握公钥的不同客户端之间不能互相解密信息,只能和掌握私钥的服务器进行加密通信。服务器持有私钥可以实现一对多的通信,而客户端可以用公钥来验证服务器发送的数字签名。服务器只需要维持一个私钥就能够和多个客户端进行加密通信,但该算法的计算复杂,加密速度慢。
基本过程
甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开;得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方;甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。
优点: 安全
缺点: 速度慢
TLS/SSL 的基本工作方式
客户端使用非对称加密与服务器进行通信,实现身份验证并协商对称加密使用的密钥,然后对称加密算法采用协商密钥对信息以及信息摘要进行加密通信,不同的节点之间采用的对称密钥不同,从而可以保证信息只能通信双方获取。
混合加密: 结合非对称加密和对称加密技术。客户端使用对称加密生成密钥对传输数据进行加密,然后使用非对称加密的公钥再对秘钥进行加密,所以网络上传输的数据是被秘钥加密的密文和用公钥加密后的秘密秘钥,因此即使被黑客截取,由于没有私钥,无法获取到加密明文的秘钥,便无法获取到明文数据。
数字摘要: 通过单向hash函数对原文进行哈希,将需加密的明文“摘要”成一串固定长度(如128bit)的密文,不同的明文摘要成的密文其结果总是不相同,同样的明文其摘要必定一致,并且即使知道了摘要也不能反推出明文。
数字签名技术: 数字签名建立在公钥加密体制基础上,是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来,形成了实用的数字签名技术。
加密的作用
收方能够证实发送方的真实身份;
发送方事后不能否认所发送过的报文;
收方或非法者不能伪造、篡改报文。
http和https的区别
1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。
2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。
3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
403
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
