详解:HTTP/HTTPS协议
HTTP协议
一.HTTP是什么
HTTP,全称超文本传输协议,是一种用于分布式、协作式、超媒体信息系统的应用层协议。HTTP往往是基于传输层TCP协议实现的,采用的一问一答的模式,即发一个请求,返回一个响应。
Q:什么是超文本?
A:文本就是HTML,css等,超文本更厉害,内容不仅有文本有的,还可以有图片视频音频等二级制数据。
Q:什么是应用层协议,什么是传输层协议?
TCP/IP协议是传输层协议,简单来说,这个协议只管传输,像是一个搬运工,不管对数据的加工和处理。而HTTP协议是应用层协议,其不关心内容是怎么传输的,只关心数据加工处理等操作。
二.HTTP协议格式
我们可以使用Fiddler等抓包工具来获取HTTP请求或响应的报文内容。
1.请求
下面是我们访问哔哩哔哩时的请求(太多展示不过来,删除了一部分,但不影响):
首行由三部分组成:方法+url+协议版本
header:请求的属性,冒号分割的键值对;每组属性之间使用\n分隔;遇到空行表示header部分结束,即body和header中间是有一行空行的,上面也特意展示出了这个细节。
Body:空行后面的内容都是Body;Body允许为空字符串;如果Body存在,则在header中会有⼀个 Content-Length属性来标识Body的长度;body可以是空的。
2.响应
我们对服务器发起请求,服务器会给我们响应,紧接着上面的访问哔哩哔哩的例子:
首行由三部分组成:版本号+状态码+状态码解释。
header:请求的属性,冒号分割的键值对;每组属性之间使用\n分隔;遇到空行表示header部分结束,即body和header中间是有一行空行的,上面也特意展示出了这个细节。
Body:空行后面的内容都是Body;Body允许为空字符串;如果Body存在,则在header中会有⼀个 Content-Length属性来标识Body的长度;如果服务器返回一个html页面,那么html页面内容就是在body中;body可以是空的。
三.HTTP请求
下面对上面请求报文内容中出现内容进行介绍。
1.url介绍
首先介绍一下url是什么。
url,全称统一资源定位符,也就是大家所谓的网址。下面是url的常见结构:
协议名:这个协议不一定的http协议,还可以是其他协议;可以省略,省略默认是http。
登录信息:一般省略,现在网站进行身份认证一般不通过url进行。
服务器地址:服务器的ip地址或域名,两者可以通过DNS域名解析系统完成相互转换。
端口号:区分应用程序,可以省略。
带层次的文件路径:用于访问某个主机上某个程序管理的某些资源,可以省略。
查询字符串:对访问资源的补充说明,使用键值对结构,键值对之间使用&分隔.键和值之间使用=分隔;可以省略,省略后相当于/. 。
片段标识符:主要用于页面内跳转,可以省略。
从上面我们可以看到一些特殊字符在url中已经被使用了,如果我们还想使用这些字符的话就要进行转义了。
转义的规则如下:将需要转码的字符转为16进制,然后从右到左,取4位(不足4位直接处理),每2位做一位,前面加上%,编码成%XY格式。
2.方法(method)
方法告诉服务器我们这次请求想要干什么。
| 方法 | 说明 | 支持的HTTP协议版本 |
| GET | 获取资源 | 1.0、1.1 |
| POST | 传输实体主体 | 1.0、1.1 |
| PUT | 传输文件 | 1.0、1.1 |
| HEAD | 获取报文首部 | 1.0、1.1 |
| DELETE | 删除服务器指定资源 | 1.0、1.1 |
| OPTIONS | 返回服务器所⽀持的请求⽅法 | 1.0 |
| TRACE | 回显服务器端收到的请求 | 1.0 |
| CONNECT | 要求用隧道协议连接代理 | 1.0 |
| LINK | 建立和资源之间的联系 | 1.0 |
| UNLINK | 断开连接关系 | 1.0 |
1)GET方法
使用的最多。首行的第一部分为GET;URL的查询字符串(query string)可以为空;body部分为空,如果需要GET给服务器发送一些数据,通过查询字符串传递过去。
2)POST方法
使用的比较少。首行的第一部分为POST;URL的查询字符串一般为空;body一般不为空。典型应用场景:登录和上传。
补充:GET和POST的区别:
两者没有本质区别,经常能够混用。从两个单词的语义可以得到GET的获取数据,而POST是提交数据;GET的body一般为空,需要传递的数据通过query string传递,POST的query string一般为空,需要传递的数据通过body传递;GET请求一般是幂等的,POST请求一般是不幂等的(如果多次请求得到的结果⼀样,就视为请求是幂等的);GET可以被缓存,POST不能被缓存。
3.报头(header)
header中使用了键值对结构,下面是报头种类:
1)Host:表示服务器主机的地址和端口;
2)Content-Length:表示body中的数据长度;
3)Content-Type:表示请求的body中的数据格式;
4)User-Agent:表示浏览器/操作系统的属性;
5)Referer:表示这个页面是从哪个页面跳转过来的;
6)Cookie:
Cookie是浏览器运行网页在本地硬盘存储数据的一种机制,这个数据可能是客户端(网页)自行通过JS写入的,也可能来自于服务器(服务器在HTTP响应的header中通过Set-Cookie字段给浏览器返回数据)(反正是程序员自行定义的),Cookie是按照键值对的方式来存储数据的,Cookie是按照域名维度来组织的。
每个不同的域名下都可以有不同的Cookie,不同网站之间的Cookie并不冲突。
浏览器保存了Cookie后,在后续给服务器发送请求的时候就会把这些Cookie键值对放到请求的header中传给服务器。一个典型的应用场景是登录认证,为什么不用每次来CSDN都要重新输入一遍账号密码,答案就在这。
四.状态码
用来表示访问一个页面的结果。下面是一些常见的状态码:
| 状态码 | 状态码解释 | 介绍 |
| 200 | OK | 表示访问成功 |
| 404 | Not Found | 没有找到资源 |
| 403 | Forbidden | 访问被拒绝,比如一些需要权限的页面 |
| 405 | Method Not Allowed | 不支持所有方法 |
| 500 | Internal Server Error | 服务器出现内部错误 |
| 504 | Gateway Timeout | 请求超时 |
| 302 | Move temporarily | 临时重定向 |
| 301 | Moved Permanently | 永久重定向 |
总结:
| 类别 | 原因 | |
| 1XX | informational(信息性状态码) | 接收的请求正在处理 |
| 2XX | Success(成功状态码) | 请求正常处理完毕 |
| 3XX | Redirection(重定向状态码) | 需要进行附加操作以完成请求 |
| 4XX | Client Error(客户端错误状态码) | 服务器无法处理请求 |
| 5XX | Server Error(服务器错误状态码) | 服务器处理请求出错 |
HTTPS
一.HTTPS是什么
HTTPS是HTTP+SSL/TLS,本质也是应用层协议,只不过是在HTTP上加一个加密层。如果我们单使用HTTP协议进行通讯,黑客运营商等可以通过控制设备来获取我们的传输的数据,这是有很大的安全隐患的。因此我们引入了加密层来保证我们传数据是安全的。
二.HTTPS的工作过程
1.对称加密
对称加密就是通过同一个“密钥”,能把明文转化成密文,也能把密文转成明文。如果我们使用对称加密,那么我们双方都要知道密钥是什么。由于一个服务器要为很多个客户端提供服务,大家每个人都使用一个单独的密钥不太可能,那我们就需要在传输的时候把密钥也传过去。
但这又引出了一个新的问题,传输的时候传密钥,不就是把保险柜密码贴在保险柜上嘛,没用。因此我们要传密钥的话要对密钥进行加密。但问题又来了,给密钥加密了,那么密钥要谁解密呢?如果在传一个密钥,那不就成套娃了嘛,无穷无尽,密钥套密钥,最终总会有一个密钥没有被加密。
所以说我们要引入非对称加密。
2.非对称加密
非对称加密要用到两个密钥,一个公钥,一个私钥。公钥可以对明文加密,私钥可以对密文解密,反过来也是可以的,私钥可以对明文加密,公钥可以对密文解密。但这个方法有一个缺点就是效率太低了。
对此我们使用了对称加密和非对称加密的结合版。使用 非对称加密 去加密 对称加密 的密钥。
你以为这个就安全了吗?这里就要介绍一下中间人攻击力了。先给大家举一个生活中的例子。我们知道车钥匙通过向车发送电波可以控制车门的开关。我们怎么实现没有车钥匙也能打开车。
当车主人按下开门的按钮时,我们可以通过电波仪器收集车钥匙发送的电波,这时车主人可能以为刚刚没按上,一般会再按一次。这时,我们收集这次的开门电波,并将上次的开门电波发给车。这样我们就可以一直持有一个有效开门电波,可以把车主的车给开走了(bushi)。这就属于中间人攻击。
在非对称加密中,黑客可以劫持网络设备,当客户端通过网络设备向服务器获取公钥的时候,黑客可以截取这条信息,并自己生成一对公钥和私钥,将自己生成的公钥发回客户端。同时网络设备给服务器发请求获取公钥,服务器返回后将这个真公钥保存好。
客户端会将数据通过我们给它的假公钥加密,到了网络设备后,黑客可以通过自己生成的假密钥进行解密,这样就知道了客户端发送的数据是什么。我们再通过刚刚获得的真公钥加密数据与服务器通讯。服务器就会误以为黑客是客户端,将数据发给了网络设备,这样信息就泄露了。
那么没有办法了吗?其实不然,我们引入证书。
证书是由第三方认证机构给服务器颁发的。在服务器搭建的时候,将服务器的域名、公钥等信息发给第三方认证机构生成数字证书,证书上记录了第三方认证机构和服务器的信息(域名、公钥)和数字签名(本质是校验和)。
数字签名是怎么产生的?认证机构会生成一对公钥(pub2)和私钥(pri2),使用证书中的关键信息生成校验和,再使用私钥(pri2)对这个校验和进行加密。
客户端获得证书后进行下面两次处理:
1)使用同样是算法对证书中的字段进行处理,获得校验和1;
2)通过认证机构提供的公钥(pub2)对数字签名进行解密,得到校验和2;
对比校验和1和校验和2是否相等,如果相等,说明证书没有被修改过;如果不相等,说明证书被人修改了。
Q:我们怎么保证我们用的公钥不是黑客生成的?
A:认证机构的公钥不是通过网络传输的,而是操作系统内置的。
Q:如果黑客修改了证书上的公钥呢?
A:如果修改了,那么校验和1就会变,与校验和2匹配不上。
Q:如果黑客自己伪造一个证书呢?
A:服务器在申请证书的时候会提交域名,域名会不同。