一、http协议的定义
HTTP是超文本传输协议的缩写。是互联网上使用最为广泛的一种网络协议,适用于www服务器传输超文本到本地浏览器传输协议。它可以使浏览器的传输更加高效,使网络传输减少。他还能使计算机能快速准确的传输超文本文档。HTTP是客户端到服务端请求与应答的标准,http协议规定了超文本传输所要遵守的规则。客户端是终端用户(浏览器),服务端是网站,当服务端发起一个指定端口的HTTP请求。
二、http协议特性
无状态:
1、HTTP协议自身不对请求和响应之间的通信状态进行保存。(即多个请求之间服务器并不知道是否是同一个客户端的请求。)
无状态存在的问题:
1、由于请求之间无状态保持,服务器就无法进行身份识别,比如大部分网站都要求登录后才能进行下一步操作,此时服务器就无法知道请求是哪一个客户端发起的。
解决无状态问题的方法:
1、Cookie技术
cookie一种用来管理HTTP协议请求状态技术。
Cookie 技术通过在请求和响应报文中写入相应的Cookie 信息来控制客户端的状态。
1、当客户端发起请求时,服务器端发送的响应报文内添加一个 Set-Cookie 的部字段信息, 通知客户端保存Cookie。
2、当下次客户端再次向服务器发送请求时, 客户端的浏览器会自动在请求报文中加入 Cookie字段和值后发送给服务器。
3、服务器端收到客户端发送过来的 Cookie 后, 会将cookie的值与之前保存的cookie进行对比, 通过对比就可以知道是否值之前已经请求过客户端, 也可以得到之前的状态信息了。
如下是第一个是登录请求
第二个是登录后发起请求:
2、session
session 是一种基于cookie技术的让服务器能识别某个用户的「机制」,然也可以1特指服务器存储的 session数据。
使用 Cookie 来 管理 Session,以弥补 HTTP 协议中不存在的状态管理功能。
可以这么认为session是对cookie的一种补充。
1.用户在浏览器输入用户名密码提交给服务端,服务端验证通过后会创建一个session对象用于记录用户的相关信息。
2.服务器创建session后,会生成的session信息 通过setCookie 字段添加到http响应头部中返回给客户端。
3、浏览器处理请求的响应信息发现响应头部有 set-cookie字段,就把这个cookie 保存浏览器指定域名下
4、当浏览器再次对服务器发起请求时,浏览器会自动发送含有session的cookie,服务端接到请求后会通过验证session是否已经存在,如果有,就证明这个用户是登录状态。
三、Http协议状态码
最常见的http状态码:
200 : 请求已经被成功处理
302:302表示重定向,服务返回302时,返回的头部信息中会包含一个 Location 字段,内容是重定向到的url地址,此时浏览器会自动访问该地址。
404:请求的资源不存在
500:服务器错误。无法响应
四、http报文的组成
HTTP请求报文:
http请求报文分为三部分:请求行(开始行)、请求首部(首部行)、请求体(实体主体)
请求行(开始行):请求的第一行是“方法、URL、协议/版本”
请求头(请求首部):请求头包含许多有关的客户端环境和请求正文的有用信息。例如,请求头可以声明浏览器所用的语言,请求正文的长度等
常见的请求头参数:
Content-Type
是返回消息中非常重要的内容,表示后面的文档属于什么MIME类型。Content-Type: [type]/[subtype]; parameter。例如最常见的就是text/html,它的意思是说返回的内容是文本类型,这个文本又是HTML格式的。原则上浏览器会根据Content-Type来决定如何显示返回的消息体内容
Host
指定请求资源的Intenet主机和端口号,必须表示请求url的原始服务器或网关的位置。HTTP/1.1请求必须包含主机头域,否则系统会以400状态码返回
Accept
浏览器可接受的MIME类型
Accept-Charset
浏览器可接受的字符集
Accept-Encoding
浏览器能够进行解码的数据编码方式,比如gzip。Servlet能够向支持gzip的浏览器返回经gzip编码的HTML页面。许多情形下这可以减少5到10倍的下载时间
Accept-Language
浏览器所希望的语言种类,当服务器能够提供一种以上的语言版本时要用到
Authorization
授权信息,通常出现在对服务器发送的WWW-Authenticate头的应答中
Connection
表示是否需要持久连接。如果Servlet看到这里的值为“Keep- Alive”,或者看到请求使用的是HTTP1.1(HTTP 1.1默认进行持久连接),它就可以利用持久连接的优点,当页面包含多个元素时(例如Applet,图片),显著地减少下载所需要的时间。要实现这一点,Servlet需要在应答中发送一个Content-Length头,最简单的实现方法是:先把内容写入 ByteArrayOutputStream,然后在正式写出内容之前计算它的大小
Content-Length
表示请求消息正文的长度
Cookie
这是最重要的请求头信息之一
If-Modified-Since
只有当所请求的内容在指定的日期之后又经过修改才返回它,否则返回304“Not Modified”应答
Referer
包含一个URL,用户从该URL代表的页面出发访问当前请求的页面
User-Agent
浏览器类型,如果Servlet返回的内容与浏览器类型有关则该值非常有用请求正文(请求体):
请求头和请求正文之间用空行分隔,表示请求头已经结束,接下来的是请求正文。请求正文中可以包含客户提交的查询字符串信息:
例如:elephone=xxxxx&userType=1&
HPPT响应报文:
http请求报文也分为三部分:状态行(开始行)、响应首部(首部行)、响应体(实体主体)
状态行:由协议版本、数字形式的状态代码、及相应的状态描述,各元素之间以空格分隔。
响应头:响应头包含许多有关的服务端环境和服务端的信息
常见的响应头
Server:
Server响应报头域包含了服务器用来处理请求的软件信息。它和User-Agent请求报头域是相对应的,前者发送服务器端软件的信息,后者发送客户 端软件(浏览器)和操作系统的信息。下面是Server响应报头域的一个例子:Server: Apache-Coyote/1.1
WWW-Authenticate:
WWW-Authenticate响应报头域必须被包含在401(未授权的)响应消息中,这个报头域和前面讲到的Authorization请求报头域是 相关的,当客户端收到401响应消息,就要决定是否请求服务器对其进行验证。如果要求服务器对其进行验证,就可以发送一个包含了 Authorization报头域的请求,下面是WWW-Authenticate响应报头域的一个例子:WWW-Authenticate: Basic realm="Basic Auth Test!"
从这个响应报头域,可以知道服务器端对我们所请求的资源采用的是基本验证机制。
Content-Encoding:
Content-Encoding实体报头域被使用作媒体类型的修饰符,它的值指示了已经被应用到实体正文的附加内容编码,因而要获得Content- Type报头域中所引用的媒体类型,必须采用相应的解码机制。Content-Encoding主要用语记录文档的压缩方法,下面是它的一个例子: Content-Encoding: gzip。如果一个实体正文采用了编码方式存储,在使用之前就必须进行解码。
Content-Language:
Content-Language实体报头域描述了资源所用的自然语言。Content-Language允许用户遵照自身的首选语言来识别和区分实体。 如果这个实体内容仅仅打算提供给丹麦的阅读者,那么可以按照如下的方式设置这个实体报头域:Content-Language: da。
如果没有指定Content-Language报头域,那么实体内容将提供给所以语言的阅读者。
Content-Length:
Content-Length实体报头域用于指明正文的长度,以字节方式存储的十进制数字来表示,也就是一个数字字符占一个字节,用其对应的ASCII码存储传输。
要注意的是:这个长度仅仅是表示实体正文的长度,没有包括实体报头的长度。
Content-Type :
Content-Type实体报头域用语指明发送给接收者的实体正文的媒体类型。例如:
Content-Type: text/html;charset=ISO-8859-1
Content-Type: text/html;charset=GB2312
Last-Modified :
Last-Modified实体报头域用于指示资源最后的修改日期及时间。
五、http协议的请求方式
- GET: 用于请求访问已经被URI(统一资源标识符)识别的资源,可以通过URL传参给服务器
- POST:用于传输信息给服务器,主要功能与GET方法类似,但一般推荐使用POST方式。
- PUT: 传输文件,报文主体中包含文件内容,保存到对应URI位置。
- HEAD: 获得报文首部,与GET方法类似,只是不返回报文主体,一般用于验证URI是否有效。
- DELETE:删除文件,与PUT方法相反,删除对应URI位置的文件。
- OPTIONS:查询相应URI支持的HTTP方法。
最常用的get与post请求的区别:
1、get请求通常是向服务器获取资源、post请求通常是向服务器发送数据
2、get传输数据是通过URL请求,以field(字段)= value的形式,置于URL后,并用"?"连接,多个请求数据间用"&"连接,传输的数据也是有限的(1M),如http://127.0.0.1/ogin.do?name=admin&password=admin
3、get请求是将请求参数放在请求的url中,相对来说不安全
4、post是通过表单的方式传输数据的,传输数据没有限制、比get请求安全
六、HTTP与HTTPS
HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。
HTTPS:是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
HTTPS协议的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。
HTTP协议传输的数据都是明文的,使用HTTP协议传输隐私信息是不安全的,为了保证这些隐私数据能加密传输,于是设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。简单来说,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全。
HTTPS和HTTP的区别主要如下:
1、https协议需要到ca申请网站证书。
2、http是超文本传输协议,信息是明文传输,https则是采用ssl加密传输协议。
3、http和https采用不同的连接方式,用的端口也不一样,http的默认端口是80,https的默认端口是443。
https建立通信过程如下:
(1)客户使用https的URL访问服务器,请求与服务器建立SSL连接。
(2)服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)返回给客户端。
(3)客户端的浏览器与服务器进行协商SSL连接的安全等级,也就是信息加密的等级。
(4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
(5)服务器利用自己的私钥解密出会话密钥。
(6)服务器利用会话密钥加密与客户端之间的通信。