网络——HTTP协议详解(五)

概述

Http协议都是我们最常打交道的网络应用层协议,基于TCP连接。

HTTP报文

继承概念

http报文可以分为请求报文和响应报文,格式大同小异。

主要分为三个部分:

  • 1)起始行;
  • 2)首部;
  • 3)主体。

请求报文格式:

1
2
3
4
<method> <request-url> <version>
<headers>
 
<entity-body>

响应报文格式:

1
2
3
4
<version> <status> <reason-phrase>
<headers>
 
<entity-body>

从请求报文格式和响应报文格式可以看出,两者主要在起始行上有差异。

这里稍微解释一下各个标签:

1
2
3
4
5
<method> 指请求方法,常用的主要是Get、 Post、Head 还有其他一些我们这里就不说了,有兴趣的可以自己查阅一下
<version> 指协议版本,现在通常都是Http/1.1了
<request-url> 请求地址
<status> 指响应状态码, 我们熟悉的200、404等等
<reason-phrase> 原因短语,200 OK 、404 Not Found 这种后面的描述就是原因短语,通常不必太关注。

method

最常用的就是GET和POST。

通过Get方法发起请求时,会将请求参数拼接在request-url尾部,格式是url?param1=xxx¶m2=xxx&[…],所以通过GET方法发起的请求参数不能够太长。
另外get最好作为读取或者获取资源,不应该有其他的副作用

而通过POST方法发起的请求是将参数放在请求体中的,所以不会有GET参数的这些问题。

但以上只限于浏览器请求的情形,实际上对于HTTP协议来说,get和post没有什么区别,get也可以有body。在安全方面讲,都不够安全,毕竟消息暴漏在传输过程中。

状态码

HTTP状态码共分为5种类型:

网络——HTTP协议详解(五)_2021-03-30-14-09-00.png

在请求报文和响应报文中都可以携带一些信息,通过与其他部分配合,能够实现各种强大的功能。这些信息位于起始行之下与请求实体之间,以键值对的形式,称之为首部。每条首部以回车换行符结尾,最后一个首部额外多一个换行,与实体分隔开。

网络——HTTP协议详解(五)_2021-03-30-14-09-52.png

实体

请求发送的资源,或是响应返回的资源。

版本

HTTP/0.9

该版本极其简单,只有一个命令GET:

GET /index.html

上面命令表示,TCP 连接(connection)建立后,客户端向服务器请求(request)网页index.html。

协议规定,服务器只能回应HTML格式的字符串,不能回应别的格式:

1
2
3
<html>
  <body>Hello World</body>
</html>

服务器发送完毕,就关闭TCP连接。

HTTP/1.0

首先,任何格式的内容都可以发送。这使得互联网不仅可以传输文字,还能传输图像、视频、二进制文件。

其次,除了GET命令,还引入了POST命令和HEAD命令。

再次,HTTP请求和回应的格式也变了。除了数据部分,每次通信都必须包括头信息(HTTP header),用来描述一些元数据。

其他的新增功能还包括状态码(status code)、多字符集支持、多部分发送(multi-part type)、权限(authorization)、缓存(cache)、内容编码(content encoding)等。

HTTP/1.0 版的主要缺点是,每个TCP连接只能发送一个请求。发送数据完毕,连接就关闭,如果还要请求其他资源,就必须再新建一个连接。

TCP连接的新建成本很高,因为需要客户端和服务器三次握手,并且开始时发送速率较慢(slow start)。所以,HTTP 1.0版本的性能比较差。随着网页加载的外部资源越来越多,这个问题就愈发突出了。

为了解决这个问题,有些浏览器在请求时,用了一个非标准的Connection字段:

Connection: keep-alive

但是,这不是标准字段,不同实现的行为可能不一致,因此不是根本的解决办法。

HTTP/1.1

HTTP/1.1进一步完善了 HTTP 协议

  1. 持久连接

    TCP连接默认不关闭,可以被多个请求复用,客户端和服务器发现对方一段时间没有活动,就可以主动关闭连接。不过,规范的做法是,客户端在最后一个请求时,发送Connection: close,明确要求服务器关闭TCP连接

  2. 管道机制

    即在同一个TCP连接里面,客户端可以同时发送多个请求。这样就进一步改进了HTTP协议的效率。

    举例来说,客户端需要请求两个资源。以前的做法是,在同一个TCP连接里面,先发送A请求,然后等待服务器做出回应,收到后再发出B请求。管道机制则是允许浏览器同时发出A请求和B请求,但是服务器还是按照顺序,先回应A请求,完成后再回应B请求。

  3. 分块传输

    对于一些很耗时的动态操作来说,这意味着,服务器要等到所有操作完成,才能发送数据,显然这样的效率不高。更好的处理方法是,产生一块数据,就发送一块,采用”流模式”(stream)取代”缓存模式”(buffer)。

  4. Host

    客户端请求的头信息新增了Host字段,用来指定服务器的域名:
    Host: example.com

    有了Host字段,就可以将请求发往同一台服务器上的不同网站,为虚拟主机的兴起打下了基础。

虽然1.1版允许复用TCP连接,但是同一个TCP连接里面,所有的数据通信是按次序进行的。服务器只有处理完一个回应,才会进行下一个回应。要是前面的回应特别慢,后面就会有许多请求排队等着。这称为”队头堵塞”(Head-of-line blocking)。

为了避免这个问题,只有两种方法:一是减少请求数,二是同时多开持久连接。这导致了很多的网页优化技巧,比如合并脚本和样式表、将图片嵌入CSS代码、域名分片(domain sharding)等等。如果HTTP协议设计得更好一些,这些额外的工作是可以避免的。

HTTP/2

  1. 二进制

    HTTP/1.1 版的头信息肯定是文本(ASCII编码),数据体可以是文本,也可以是二进制。HTTP/2 则是一个彻底的二进制协议,头信息和数据体都是二进制,并且统称为”帧”(frame):头信息帧和数据帧。

  2. 多工

    HTTP/2 复用TCP连接,在一个连接里,客户端和浏览器都可以同时发送多个请求或回应,而且不用按照顺序一一对应,这样就避免了”队头堵塞”。

    举例来说,在一个TCP连接里面,服务器同时收到了A请求和B请求,于是先回应A请求,结果发现处理过程非常耗时,于是就发送A请求已经处理好的部分, 接着回应B请求,完成后,再发送A请求剩下的部分。

    这样双向的、实时的通信,就叫做多工(Multiplexing)。

  3. 数据流

    因为 HTTP/2 的数据包是不按顺序发送的,同一个连接里面连续的数据包,可能属于不同的回应。因此,必须要对数据包做标记,指出它属于哪个回应。

    HTTP/2 将每个请求或回应的所有数据包,称为一个数据流(stream)。每个数据流都有一个独一无二的编号。数据包发送的时候,都必须标记数据流ID,用来区分它属于哪个数据流。另外还规定,客户端发出的数据流,ID一律为奇数,服务器发出的,ID为偶数。

    数据流发送到一半的时候,客户端和服务器都可以发送信号(RST_STREAM帧),取消这个数据流。1.1版取消数据流的唯一方法,就是关闭TCP连接。这就是说,HTTP/2 可以取消某一次请求,同时保证TCP连接还打开着,可以被其他请求使用。

    客户端还可以指定数据流的优先级。优先级越高,服务器就会越早回应。

  4. 头信息压缩

    HTTP 协议不带有状态,每次请求都必须附上所有信息。所以,请求的很多字段都是重复的,比如Cookie和User Agent,一模一样的内容,每次请求都必须附带,这会浪费很多带宽,也影响速度。

    HTTP/2 对这一点做了优化,引入了头信息压缩机制(header compression)。一方面,头信息使用gzip或compress压缩后再发送;另一方面,客户端和服务器同时维护一张头信息表,所有字段都会存入这个表,生成一个索引号,以后就不发送同样字段了,只发送索引号,这样就提高速度了。

  5. 服务器推送

    HTTP/2 允许服务器未经请求,主动向客户端发送资源,这叫做服务器推送(server push)。

    常见场景是客户端请求一个网页,这个网页里面包含很多静态资源。正常情况下,客户端必须收到网页后,解析HTML源码,发现有静态资源,再发出静态资源请求。其实,服务器可以预期到客户端请求网页后,很可能会再请求静态资源,所以就主动把这些静态资源随着网页一起发给客户端了。

HTTP和RPC

HTTP 和 RPC 其实是两个维度的东西, HTTP 指的是通信协议。

而 RPC 则是远程调用,其对应的是本地调用。

RPC 的通信可以用 HTTP 协议,也可以自定义协议,是不做约束的。主要用来来屏蔽这些底层调用细节,使得我们编码上还是和之前本地调用相差不多。

HTTPS

基础

简单的说:Http + 加密 + 认证 + 完整性保护 = Https。

传统的Http协议是一种应用层的传输协议,Http直接与TCP协议通信。

其本身存在一些缺点:

  • Http协议使用明文传输,容易遭到窃听;
  • Http对于通信双方都没有进行身份验证,通信的双方无法确认对方是否是伪装的客户端或者服务端;
  • Http对于传输内容的完整性没有确认的办法,往往容易在传输过程中被劫持篡改。

因此,在一些需要保证安全性的场景下,比如涉及到银行账户的请求时,Http无法抵御这些攻击。 Https则可以通过增加的SSL\TLS,支持对于通信内容的加密,以及对通信双方的身份进行验证。

加密原理

近代密码学中加密的方式主要有两类:

1)对称秘钥加密;
2)非对称秘钥加密。

对称秘钥加密是指加密与解密过程使用同一把秘钥。这种方式的优点是处理速度快,但是如何安全的从一方将秘钥传递到通信的另一方是一个问题。

非对称秘钥加密是指加密与解密使用两把不同的秘钥。这两把秘钥,一把叫公开秘钥,可以随意对外公开。一把叫私有秘钥,只用于本身持有。得到公开秘钥的客户端可以使用公开秘钥对传输内容进行加密,而只有私有秘钥持有者本身可以对公开秘钥加密的内容进行解密。这种方式克服了秘钥交换的问题,但是相对于对称秘钥加密的方式,处理速度较慢。

SSL\TLS的加密方式则是结合了两种加密方式的优点。首先采用非对称秘钥加密,将一个对称秘钥使用公开秘钥加密后传输到对方。对方使用私有秘钥解密,得到传输的对称秘钥。之后双方再使用对称秘钥进行通信。这样即解决了对称秘钥加密的秘钥传输问题,又利用了对称秘钥的高效率来进行通信内容的加密与解密。

本文标题:网络——HTTP协议详解(五)

文章作者:南有乔木

发布时间:2021-03-30, 13:37:24

最后更新:2021-03-30, 15:06:08

原始链接:http://yoursite.com/2021/03/30/%E7%BD%91%E7%BB%9C%E2%80%94%E2%80%94HTTP%E5%8D%8F%E8%AE%AE%E8%AF%A6%E8%A7%A3%EF%BC%88%E4%BA%94%EF%BC%89/

许可协议: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

文章目录
  1. 1. 概述
  2. 2. HTTP报文
    1. 2.1. 继承概念
    2. 2.2. method
    3. 2.3. 状态码
    4. 2.4. header
    5. 2.5. 实体
  3. 3. 版本
    1. 3.1. HTTP/0.9
    2. 3.2. HTTP/1.0
    3. 3.3. HTTP/1.1
    4. 3.4. HTTP/2
  4. 4. HTTP和RPC
  5. 5. HTTPS
    1. 5.1. 基础
    2. 5.2. 加密原理
|