1.HTTP协议
Internate的基本协议是TCP/IP(传输控制协议和网际协议)。而目前使用的FTP,HTTP都是建立在TCP/IP上的应用层协议。不同的协议对应不同的应用。而HTTP协议是Web应用所使用的主要协议。
HTTP协议基于请求响应模式,客户端向服务器发送一个请求,请求头包含请求的方法,URI,协议版本以及包含请求修饰符,客户端信息和内容的类似MIME的消息结果。服务器则以一个状态行为作为响应,相应的内容包括消息协议的版本,成功或错误编码加上包含服务器信息,实体元信息以及可能的实体内容。
HTTP协议是无状态协议,依赖瞬间或者近乎瞬间的请求处理。请求信息被立即发送,理想的情况是没有延迟地进行处理;不过,延迟还是客观存在的。HTTP协议有一种内置机制,在消息的传递时间上有一定的灵活性:超时机制。一个超时就是客户端等待请求消息返回信息的最长时间。
HTTP协议的请求和响应消息如果没有发送并传递成功的话,不保存任何已传递的信息。比如,单击“提交”按牛,如果表单没有发出去,则浏览器将会显示错误信息页,并且返回空白表单。虽然没有提交成功,但是HTTP不保存任何表单信息。
由于HTTP协议的上述特点,通常,客户端每次需要更新信息都必须重新向服务器发起请求,客户端接受到服务器端返回的信息后再刷新屏幕内容。
基于HTTP协议的客户端/服务器请求响应 机制的信息交换过程包含下面几个步骤:
1.建立连接:客户端与服务器建立TCP连接
2.发送请求:打开一个连接后,客户端把请求信息发送到服务器的相应端口上,完成请求动作提交。
3.发送响应:服务器在处理完客户端请求之后,要向客户端发送响应消息。
4.关闭连接:客户端和服务器端都可以关闭套接字来结束TCP/IP对话。
HTTP的工作机制就是请求消息和响应消息。嘴尖但的情况是一个拥护输入一个站点地址,发送一个请求。之后,浏览器返回所请求的页面,这个页面可能是最简单的HTML页面,也可能是动态编译后的页面。如果这个页面有错或者不存在,则WEB服务器则将发送一个错误的信息页面。
WEB服务器发送错误信息页是因为HTTP没有内置的处理机制,是无状态的,传输协议不记忆从一个请求消息到另一个请求消息的任何信息(备注:意思是说,当发送一个请求消息发生错误,由于HTTP是无状态的,所以不能将这个发生错误的请求消息传递给另一个请求消息进行处理,也是请求消息不能转弯,必须一次传到并得到处理) 这个特点可以保证WEB的一致性。但是,用户常常需要记忆一些设置内容或者浏览过程,这就需要在web页面或者URL中携带各种参数及值。HTTP请求有多种样式。其中常用的有GET,POST,HEAD请求。
//这3个请求暂时不提了
5.状态管理
正如前面所提到的,HTTP协议是无状态的,不能保存每次提交的信息,即当服务器返回与请求相对应的应答之后,这次事务的所有信息就都丢掉了。如果用户发来一个新的请求,服务器也无法知道它是否与上次的请求有联系。
对于简单的静态HTML文件来说,这种特性是很适用,但是对于那些需要多次提交请求才能完成的WEB操作比如购物车来说,就成了问题了。服务器端的WEB应用程序必须允许用户通过多个步骤才能完成全部的物品采购。在这种情况下,应用程序必须跟踪由同一个浏览器发送的多哥请求所提供的信息,即记住用户的交易状态。
通常,采用两种方法来解决这个问题。一个是每次应答都返回完整的状态,让浏览器把它作为下次请求的一部分再发送过来。二是把状态保存在服务器的某个地方,只发送回一个标识符,浏览器在下次提交中把这个标识符发送过来;这样,就可以定位存贮在服务器上的状态信息了。
在这两种方法中,信息可以通过下列三种方法中的一种发送给浏览器:
1.作为COOKIE; 但是不是所有浏览器都支持,而且用户也可以禁用COOKIE
2.附加在主体的URL中
2.作为隐藏域嵌入HTML表单中;
当表但提交时,浏览器将作为常规HTTP参数的方式将这些信息返回服务器,当状态信息被注入时,它将作为请求URL的一部分传诵到服务器,但是这在浏览器和服务器之间来回传递信息的效率较低,所以一般还是选择把信息保存在服务器中,即上面两种方法中的第二种。在浏览器和服务器之间来回传递一个标识符,这就是所谓的会话(session)跟踪。来自浏览器的所有包含同一个标识符(这里是SESSIONID)的请求同属于一个会话。
会话的有效期直到它被显式地终止为止,或者当拥护在异端时间内没有动作,由服务器自动设置为过期。目前没有办法通知服务器用户已经关闭浏览器,因为在浏览器和服务器之间没有一个持久的连接,并且浏览器关闭时也不向服务器发送信息。同时,关闭浏览器通常意味着会话ID丢失;COOKIE将国旗,或者注入了信息的URL将不能再使用。所以当用户再次打开浏览器的时候,服务器无法将心得请求与以前的会话联系起来,饿睿智能创建一个新的会话。然而,所有与前一个会话有关的数据依然存放在服务器上,直到会话过期被清除为止。
学技术时,总是会问什么?这里也不例外,https为什么会存在,它有什么优点,又有什么缺点?为什么网站有的用http,有的用https?如果不能很好的回答,就往下看吧。
http通信存在的问题
容易被监听
http通信都是明文,数据在客户端与服务器通信过程中,任何一点都可能被劫持。比如,发送了银行卡号和密码,hacker劫取到数据,就能看到卡号和密码,这是很危险的
被伪装
http通信时,无法保证通行双方是合法的,通信方可能是伪装的。比如你请求www.taobao.com,你怎么知道返回的数据就是来自淘宝,中间人可能返回数据伪装成淘宝。
被篡改
hacker中间篡改数据后,接收方并不知道数据已经被更改
共享密钥加密和公开密钥加密
后续内容的需要,这里插播一段共享密钥加密和公开密钥加密
共享密钥加密
共享密钥的加密密钥和解密密钥是相同的,所以又称为对称密钥
公开密钥加密
加密算法是公开的,密钥是保密的。公开密钥分为私有密钥和公有密钥,公有密钥是公开的,任何人(客户端)都可以获取,客户端使用公有密钥加密数据,服务端用私有密钥解密数据。
异同
共享密钥加密与公开密钥加密相比,加解密处理速度快,但公开密钥更适应互联网下使用
https解决的问题
https很好的解决了http的三个缺点(被监听、被篡改、被伪装),https不是一种新的协议,它是http+SSL(TLS)的结合体,SSL是一种独立协议,所以其它协议比如smtp等也可以跟ssl结合。https改变了通信方式,它由以前的http—–>tcp,改为http——>SSL—–>tcp;https采用了共享密钥加密+公开密钥加密的方式
防监听
数据是加密的,所以监听得到的数据是密文,hacker看不懂。
防伪装
伪装分为客户端伪装和服务器伪装,通信双方携带证书,证书相当于身份证,有证书就认为合法,没有证书就认为非法,证书由第三方颁布,很难伪造
防篡改
https对数据做了摘要,篡改数据会被感知到。hacker即使从中改了数据也白搭。
https连接过程
服务器端需要认证的通信过程
这里写图片描述
客户端发送请求到服务器端
服务器端返回证书和公开密钥,公开密钥作为证书的一部分而存在
客户端验证证书和公开密钥的有效性,如果有效,则生成共享密钥并使用公开密钥加密发送到服务器端
服务器端使用私有密钥解密数据,并使用收到的共享密钥加密数据,发送到客户端
客户端使用共享密钥解密数据
SSL加密建立………
客户端认证的通信的过程
客户端需要认证的过程跟服务器端需要认证的过程基本相同,并且少了最开始的两步。这种情况都是证书存储在客户端,并且应用场景比较少,一般金融才使用,比如支付宝、银行客户端都需要安装证书
后续的问题
怎样保证公开密钥的有效性
你也许会想到,怎么保证客户端收到的公开密钥是合法的,不是伪造的,证书很好的完成了这个任务。证书由权威的第三方机构颁发,并且对公开密钥做了签名。
https的缺点
https保证了通信的安全,但带来了加密解密消耗计算机cpu资源的问题 ,不过,有专门的https加解密硬件服务器
各大互联网公司,百度、淘宝、支付宝、知乎都使用https协议,为什么?
支付宝涉及到金融,所以出于安全考虑采用https这个,可以理解,为什么百度、知乎等也采用这种方式?为了防止运营商劫持!http通信时,运营商在数据中插入各种广告,用户看到后,怒火发到互联网公司,其实这些坏事都是运营商(移动、联通、电信)干的,用了https,运营商就没法插播广告篡改数据了。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。