目录
一、HTTP协议的原理
HTTP协议是超文本传输协议的缩写,英文是Hyper Text Transfer Protocol。它是从WEB服务器传输超文本标记语言(HTML)到本地浏览器的传送协议。
HTTP是一个基于TCP/IP通信协议来传递数据的协议,传输的数据类型为HTML 文件,、图片文件, 查询结果等。
HTTP协议一般用于B/S架构。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。
二、HTTP报文组成
请求报文
1、请求行:包括请求方法、URL、协议/版本
2、请求头(Request Header)
3、请求正文
响应报文
1、状态行
2、响应头
3、响应正文
响应状态码
状态代码由服务器发出,以响应客户端对服务器的请求。
- 1xx(信息):收到请求,继续处理
- 2xx(成功):请求已成功接收,理解和接受
- 3xx(重定向):需要采取进一步措施才能完成请求
- 4xx(客户端错误):请求包含错误的语法或无法满足
- 5xx(服务器错误):服务器无法满足明显有效的请求
常见状态码
- 200 OK - 客户端请求成功
- 301 - 资源(网页等)被永久转移到其它URL
- 302 - 临时跳转
- 400 Bad Request - 客户端请求有语法错误,不能被服务器所理解
- 401 Unauthorized - 请求未经授权,这个状态代码必须和WWW-Authenticate报头域一起使用
- 404 - 请求资源不存在,可能是输入了错误的URL
- 500 - 服务器内部发生了不可预期的错误
- 503 Server Unavailable - 服务器当前不能处理客户端的请求,一段时间后可能恢复正常。
常见请求方法
1、GET:请求指定的页面信息,并返回实体主体。
2、POST:向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。
3、HEAD:类似于get请求,只不过返回的响应中没有具体的内容,用于获取报头
4、PUT:从客户端向服务器传送的数据取代指定的文档的内容。
5、DELETE:请求服务器删除指定的页面。
三、HTTPS协议的原理
实际使用中,绝大说的网站现在都采用的是https协议,这也是未来互联网发展的趋势。
一般http中存在如下问题:
-
请求信息明文传输,容易被窃听截取。
-
数据的完整性未校验,容易被篡改
-
没有验证对方身份,存在冒充危险
为了解决上述HTTP存在的问题,就用到了HTTPS。
HTTPS 协议(HyperText Transfer Protocol over Secure Socket Layer):一般理解为HTTP+SSL/TLS,通过 SSL证书来验证服务器的身份,并为浏览器和服务器之间的通信进行加密。
SSL(Secure Socket Layer,安全套接字层):1994年为 Netscape 所研发,SSL 协议位于 TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。
TLS(Transport Layer Security,传输层安全):其前身是 SSL,它最初的几个版本(SSL 1.0、SSL 2.0、SSL 3.0)由网景公司开发,1999年从 3.1 开始被 IETF 标准化并改名,发展至今已经有 TLS 1.0、TLS 1.1、TLS 1.2 三个版本。SSL3.0和TLS1.0由于存在安全漏洞,已经很少被使用到。TLS 1.3 改动会比较大,目前还在草案阶段,目前使用最广泛的是TLS 1.1、TLS 1.2。
HTTPS数据传输流程如下:
1、首先客户端通过URL访问服务器建立SSL连接。
2、服务端收到客户端请求后,会将网站支持的证书信息(证书中包含公钥)传送一份给客户端。
3、客户端的服务器开始协商SSL连接的安全等级,也就是信息加密的等级。
4、客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
5、服务器利用自己的私钥解密出会话密钥。
6、服务器利用会话密钥加密与客户端之间的通信。
四、HTTP与HTTPS的区别
HTTP | HTTPS | |
URL | 以http://开头 | 以https://开头 |
明文or密文 | 明文传输协议 | 可进行加密传输、身份认证的网络协议 |
状态 | 无状态 | 可进行加密传输、身份认证的网络协议 |
证书 | 不需要证书 | 需要证书 |
标准端口 | 80 | 443 |
应用层or传输层 | 基于应用层 | 基于传输层 |
其他特点 | 简单、快速、灵活 | 安全、正确 |