前言

還是老樣子，新部落格開始前總是想先囉嗦幾句...HTTP協議其實在當初學習java時老師就有提過...但是...反正就那麼過去了...

這段時間公司的專案正好要求做https的轉換和遷移，然後自己思考了一下，好像自己對於http連一知半解都算不上...更不提http與https的區別...想想作為一個未來的大前端工程師，豈能不去研究這些東西？

好吧，廢話就到這裡...正文開始

什麼是HTTP？

以下來自度娘最為專業的解釋：

超文字傳輸協議（HTTP，HyperText Transfer Protocol)是網際網路上應用最為廣泛的一種網路協議。所有的WWW檔案都必須遵守這個標準。設計HTTP最初的目的是為了提供一種釋出和接收HTML頁面的方法。1960年美國人Ted Nelson構思了一種通過計算機處理文字資訊的方法，並稱之為超文字（hypertext）,這成為了HTTP超文字傳輸協議標準架構的發展根基。Ted Nelson組織協調全球資訊網協會（World Wide Web Consortium）和網際網路工程工作小組（Internet Engineering Task Force ）共同合作研究，最終釋出了一系列的RFC，其中著名的RFC 2616定義了HTTP 1.1。

HTTP的特點

1.支援客戶/伺服器模式。（C/S模式）

2.簡單快速：客戶向伺服器請求服務時，只需傳送請求方法和路徑。請求方法常用的有GET、HEAD、POST。每種方法規定了客戶與伺服器聯絡的型別不同。由於HTTP協議簡單，使得HTTP伺服器的程式規模小，因而通訊速度很快。

3.靈活：HTTP允許傳輸任意型別的資料物件。正在傳輸的型別由Content-Type加以標記。

4.無連線：無連線的含義是限制每次連線只處理一個請求。伺服器處理完客戶的請求，並收到客戶的應答後，即斷開連線。採用這種方式可以節省傳輸時間。

5.無狀態：HTTP協議是無狀態協議。無狀態是指協議對於事務處理沒有記憶能力。缺少狀態意味著如果後續處理需要前面的資訊，則它必須重傳，這樣可能導致每次連線傳送的資料量增大。另一方面，在伺服器不需要先前資訊時它的應答就較快

HTTP的工作流程

第一步：建立TCP/IP連線，客戶端與伺服器通過Socket三次握手進行連線

第二步：客戶端向服務端發起HTTP請求（例如：POST/login.html http/1.1）

第三步：客戶端傳送請求頭資訊，請求內容，最後會發送一空白行，標示客戶端請求完畢

第四步：伺服器做出應答，表示對於客戶端請求的應答，例如：HTTP/1.1 200 OK

第五步：伺服器向客戶端傳送應答頭資訊

第六步：伺服器向客戶端傳送請求頭資訊後，也會發送一空白行，標示應答頭資訊傳送完畢，接著就以Content-type要求的資料格式傳送資料給客戶端

第七步：服務端關閉TCP連線，如果伺服器或者客戶端增Connection:keep-alive就表示客戶端與伺服器端繼續儲存連線，在下次請求時可以繼續使用這次的連線

HTTP請求詳解

藉助Chrome的Developer Tools，以下的例子都是前段時間完成的一個小專案中與後臺互動時的請求分析

在谷歌瀏覽器中按 F12激活了開發者工具後，點選紅框中的位置，就可以開始對請求進行抓包。因為是首頁，可能附加資源有點多，為了方便後續的觀看，我過濾掉了其他的內容，只保留了與服務端的HTTP請求。

然後再看下面這張圖，通過工具，我們能很清晰的看到客戶端請求發出後的，包含於請求中的所有資訊；以及服務響應後返回給客戶端的資訊

下面，我們來解釋其中各種眼花繚亂的引數及其有什麼作用吧！

首先第一塊 General ：

Request URL:就是客戶端請求服務端的url路徑；

Request Method：請求的型別。這裡多說幾句，請求型別分為8種：GET/POST/DELETE/TRACE/PUT/CONNECT/HEAD/OPTION，但其實，我們在開發中常用的就只有get/post，其他的請求型別也可以通過這兩種間接的去實現出來。如何實現暫時與本文無關，暫不贅述；

Status Code：也就是伺服器響應了客服端的請求後，給出一個code，標示請求的狀態，根據字面意義理解就叫狀態碼。狀態碼太過繁多，感覺與本文沒有太大聯絡，這裡也不再做過多解釋；

Remote Address：直譯過來叫做遠端地址，其實怎麼理解呢？也就是說的是你請求發出的那個地址...

我覺得按照HTTP的工作流程，應該先說明下第三塊和第四塊，最後再來說明第二塊。至於為什麼？我們繼續往下看。

第三塊：Request Header 請求頭

這塊中包含了當客戶端發出一個請求後請求頭中的所有資訊，來看看具體有些啥：

Host:服務端的伺服器主機地址

Proxy-Connection: 其實這裡應該是Connetion，因為我這邊使用了Fiddler做了下代理，所以這裡變成了Proxy-Connection。Connection引數是指允許傳送指定連線的選項。例如指定連線是連續，或者指定“close”選項，通知伺服器，在響應完成後，關閉連線。

Accept: 指定客戶端接受哪些型別的資訊

X-Requested-With: 說明請求的請求方式，是同步還是非同步，如果引數是null，說明是傳統的同步請求，如果是XMLHttpRequest，則說明是ajax的非同步請求

User-Agent: 我們上網登陸論壇的時候，往往會看到一些歡迎資訊，其中列出了你的作業系統的名稱和版本，你所使用的瀏覽器的名稱和版本，這往往讓很多人感到很神奇，實際上，伺服器應用程式就是從User-Agent這個請求報頭域中獲取到這些資訊。User-Agent請求報頭域允許客戶端將它的作業系統、瀏覽器和其它屬性告訴伺服器。不過，這個報頭域不是必需的，如果我們自己編寫一個瀏覽器，不使用User-Agent請求報頭域，那麼伺服器端就無法得知我們的資訊了。

Referer:當瀏覽器向web伺服器傳送請求的時候，一般會帶上Referer，告訴伺服器我是從哪個頁面連結過來的，伺服器基此可以獲得一些資訊用於處理。

Accept-Encoding:用於指定可接受的內容編碼

Accept-Language:用於指定一種自然語言，如果請求訊息中沒有設定這個，伺服器假定客戶端對各種語言都可以接受。

第四塊：Query String Parameters

這塊其實沒有啥好說的，因為這塊屬於非必需的部分，因為有些請求需要客戶端向服務端發起請求時攜帶一些引數，有些時候也並不需要。攜帶引數的時候這裡會展示所攜帶的引數。

我們倒回來看看第三塊，也就是Response Headers響應頭

在HTTP請求傳送到服務端之後，服務端響應了這個請求，並向客戶端傳送了響應資訊。響應頭包含在響應資訊中。接下來我們來看看引數：

Date:這個就不用多說了吧？表明了響應的時間

Content-Type: 傳送給客戶端的實體正文的媒體型別

Transfer-Encoding:定義請求的傳輸編碼

Connection:允許客戶端或伺服器中任何一方關閉底層的連線雙方都會要求在處理請求後關閉或者保持它們的TCP連線。

Vary:告訴下游代理是使用快取響應還是從原始伺服器請求

X-Powered-By: 自定義響應頭

Cache-Control: 這個欄位用於指定所有快取機制在整個請求/響應鏈中必須服從的指令。這些指令指定用於阻止快取對請求或響應造成不利干擾的行為。這些指令通常覆蓋預設快取演算法。快取指令是單向的，即請求中存在一個指令並不意味著響應中將存在同一個指令。

HTTP與HTTPS的區別

1.什麼是HTTPS

HTTPS，全名叫安全的超文字傳輸協議（HyperText Transfer Protocol Secure），為啥是安全的超文字傳輸協議呢？看一張圖：

其實HTTPS就是在常規的TCP協議層之上加入了一層TLS或者SSL協議。所以其埠也不是常規的HTTP的80埠，變成了443埠

2.http與https的區別

1、https協議需要到ca申請證書，一般免費證書較少，因而需要一定費用。

2、http是超文字傳輸協議，資訊是明文傳輸，https則是具有安全性的ssl加密傳輸協議。

3、http和https使用的是完全不同的連線方式，用的埠也不一樣，前者是80，後者是443。

4、http的連線很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議，比http協議安全。

3.https的工作流程

1、客戶端發起HTTPS請求

這個沒什麼好說的，就是使用者在瀏覽器裡輸入一個https網址，然後連線到server的443埠。

2、服務端的配置

採用HTTPS協議的伺服器必須要有一套數字證書，可以自己製作，也可以向組織申請，區別就是自己頒發的證書需要客戶端驗證通過，才可以繼續訪問，而使用受信任的公司申請的證書則不會彈出提示頁面(startssl就是個不錯的選擇，有1年的免費服務)。這套證書其實就是一對公鑰和私鑰，如果對公鑰和私鑰不太理解，可以想象成一把鑰匙和一個鎖頭，只是全世界只有你一個人有這把鑰匙，你可以把鎖頭給別人，別人可以用這個鎖把重要的東西鎖起來，然後發給你，因為只有你一個人有這把鑰匙，所以只有你才能看到被這把鎖鎖起來的東西。

3、傳送證書

這個證書其實就是公鑰，只是包含了很多資訊，如證書的頒發機構，過期時間等等。

4、客戶端解析證書

這部分工作是有客戶端的TLS來完成的，首先會驗證公鑰是否有效，比如頒發機構，過期時間等等，如果發現異常，則會彈出一個警告框，提示證書存在問題。如果證書沒有問題，那麼就生成一個隨機值，然後用證書對該隨機值進行加密，就好像上面說的，把隨機值用鎖頭鎖起來，這樣除非有鑰匙，不然看不到被鎖住的內容。

5、傳送加密資訊

這部分傳送的是用證書加密後的隨機值，目的就是讓服務端得到這個隨機值，以後客戶端和服務端的通訊就可以通過這個隨機值來進行加密解密了。

6、服務段解密資訊

服務端用私鑰解密後，得到了客戶端傳過來的隨機值(私鑰)，然後把內容通過該值進行對稱加密，所謂對稱加密就是，將資訊和私鑰通過某種演算法混合在一起，這樣除非知道私鑰，不然無法獲取內容，而正好客戶端和服務端都知道這個私鑰，所以只要加密演算法夠彪悍，私鑰夠複雜，資料就夠安全。

7、傳輸加密後的資訊

這部分資訊是服務段用私鑰加密後的資訊，可以在客戶端被還原。

8、客戶端解密資訊

客戶端用之前生成的私鑰解密服務段傳過來的資訊，於是獲取瞭解密後的內容，整個過程第三方即使監聽到了資料，也束手無策。

總結

細細想想好像沒啥總結的了...這篇部落格也只是為了幫助我自己更好的去理解HTTP與HTTPS...嗯...就這樣吧。

完結撒花~