HTTP和HTTPS协议

HTTP协议

HTTP是一个无状态的协议。无状态是指客户机（Web浏览器）和服务器之间不需要建立持久的连接，这意味着当一个客户端向服务器端发出请求，然后服务器返回响应(response)，连接就被关闭了，在服务器端不保留连接的有关信息.HTTP 遵循请求(Request)/应答(Response)模型。客户机（浏览器）向服务器发送请求，服务器处理请求并返回适当的应答。所有 HTTP 连接都被构造成一套请求和应答。

• 传输流程
  1.地址解析
  就是在用户访问页面时，浏览器从地址中分解出协议名、主机名、端口、对象路径等部分，从而通过域名系统DNS解析域名得主机IP地址。
  2.封装 HTTP 请求数据包
  把以上部分结合本机自己的信息，封装成一个 HTTP 请求数据包。
  3.封装成TCP包并建立连接
  封装成TCP包，建立 TCP 连接（TCP的三次握手）
  4.客户机发送请求命令
  建立连接后，客户机发送一个请求给服务器，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是 MIME 信息包括请求修饰符、客户机信息等内容。
  5.服务器响应
  服务器接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是 MIME 信息包括服务器信息、实体信息和可能的内容。
  6.服务器关闭 TCP 连接
  服务器关闭TCP连接：一般情况下，一旦Web服务器向浏览器发送了请求数据，它就要关闭TCP连接，然后如果浏览器或者服务器在其头信息加入了这行代码 Connection:keep-alive，TCP连接在发送后将仍然保持打开状态，于是，浏览器可以继续通过相同的连接发送请求。保持连接节省了为每个请求建立新连接所需的时间，还节约了网络带宽。

• 常见的HTTP相应状态码
  200：请求被正常处理
  204：请求被受理但没有资源可以返回
  206：客户端只是请求资源的一部分，服务器只对请求的部分资源执行GET方法，相应报文中通过Content-Range指定范围的资源。
  301：永久性重定向
  302：临时重定向
  303：与302状态码有相似功能，只是它希望客户端在请求一个URI的时候，能通过GET方法重定向到另一个URI上
  304：发送附带条件的请求时，条件不满足时返回，与重定向无关
  307：临时重定向，与302类似，只是强制要求使用POST方法
  400：请求报文语法有误，服务器无法识别
  401：请求需要认证
  403：请求的对应资源禁止被访问
  404：服务器无法找到对应资源
  500：服务器内部错误
  502：表示网关错误
  503：服务器正忙

成功响应都是200，重定向都是300，客户端错误是400，服务器端错误是500。

• 常用的HTTP方法有哪些？
  GET： 用于请求访问已经被URI（统一资源标识符）识别的资源，可以通过URL传参给服务器
  POST：用于传输信息给服务器，主要功能与GET方法类似，但一般推荐使用POST方式。
  PUT： 传输文件，报文主体中包含文件内容，保存到对应URI位置。
  HEAD： 获得报文首部，与GET方法类似，只是不返回报文主体，一般用于验证URI是否有效。
  DELETE：删除文件，与PUT方法相反，删除对应URI位置的文件。
  OPTIONS：查询相应URI支持的HTTP方法。

• GET方法与POST方法的区别
  区别一：
  get重点在从服务器上获取资源，post重点在向服务器发送数据；
  区别二：
  get传输数据是通过URL请求，以field（字段）= value的形式，置于URL后，并用"?“连接，多个请求数据间用”&"连接，http://127.0.0.1/Test/login.action?name=admin&password=admin，这个过程用户是可见的；post传输数据通过Http的post机制，将字段与对应值封存在请求实体中发送给服务器，这个过程对用户是不可见的；
  区别三：
  Get传输的数据量小，因为受URL长度限制，但效率较高；Post可以传输大量数据，所以上传文件时只能用Post方式；
  区别四：
  get是不安全的，因为URL是可见的，可能会泄露私密信息，如密码等；post较get安全性较好
  区别五：
  get方式只能支持ASCII字符，向服务器传的中文字符可能会乱码。post支持标准字符集，可以正确传递中文字符。

• HTTP请求报文与响应报文格式
  请求报文包含三部分：
  a、请求行：包含请求方法、URI、HTTP版本信息
  b、请求首部字段
  c、请求内容实体
  响应报文包含三部分：
  a、状态行：包含HTTP版本、状态码、状态码的原因短语
  b、响应首部字段
  c、响应内容实体

• HTTP1.1版本新特性
  a、默认持久连接节省通信量，只要客户端服务端任意一端没有明确提出断开TCP连接，就一直保持连接，可以发送多次HTTP请求
  b、管线化，客户端可以同时发出多个HTTP请求，而不用一个个等待响应
  c、断点续传原理。

• 常见HTTP首部字段
  a、通用首部字段（请求报文与响应报文都会使用的首部字段）
  Date：创建报文时间
  Connection：连接的管理
  Cache-Control：缓存的控制
  Transfer-Encoding：报文主体的传输编码方式
  b、请求首部字段（请求报文会使用的首部字段）
  Host：请求资源所在服务器
  Accept：可处理的媒体类型
  Accept-Charset：可接收的字符集
  Accept-Encoding：可接受的内容编码
  Accept-Language：可接受的自然语言
  c、响应首部字段（响应报文会使用的首部字段）
  Accept-Ranges：可接受的字节范围
  Location：令客户端重新定向到的URI
  Server：HTTP服务器的安装信息
  d、实体首部字段（请求报文与响应报文的的实体部分使用的首部字段）
  Allow：资源可支持的HTTP方法
  Content-Type：实体主类的类型
  Content-Encoding：实体主体适用的编码方式
  Content-Language：实体主体的自然语言
  Content-Length：实体主体的的字节数
  Content-Range：实体主体的位置范围，一般用于发出部分请求时使用

• HTTP优化
  利用负载均衡优化和加速HTTP应用
  利用HTTP Cache来优化网站

HTTPS

HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP 通道，简单讲是 HTTP 的安全版。即 HTTP 下加入 SSL 层，HTTPS 的安全基础是 SSL。其所用的端口号是 443。SSL(Secure Sockets Layer安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。它在传输层对网络连接进行加密。
过程大致如下：
建立连接获取证书
1） SSL 客户端通过 TCP 和服务器建立连接之后（443 端口），并且在一般的 tcp 连接协商（握手）过程中请求证书。即客户端发出一个消息给服务器，这个消息里面包含了自己可实现的算法列表和其它一些需要的消息，SSL 的服务器端会回应一个数据包，这里面确定了这次通信所需要的算法，然后服务器向客户端返回证书。（证书里面包含了服务器信息：域名。申请证书的公司，公共秘钥）。
证书验证
2） Client 在收到服务器返回的证书后，判断签发这个证书的公共签发机构，并使用这个机构的公共秘钥确认签名是否有效，客户端还会确保证书中列出的域名就是它正在连接的域名。
数据加密和传输。
3） 如果确认证书有效，那么生成对称秘钥并使用服务器的公共秘钥进行加密。然后发送给服务器，服务器使用它的私钥对它进行解密，这样两台计算机可以开始进行对称加密进行通信。

HTTP的缺点与HTTPS
a、通信使用明文不加密，内容可能被窃听
b、不验证通信方身份，可能遭到伪装
c、无法验证报文完整性，可能被篡改
HTTPS就是HTTP加上加密处理（一般是SSL安全通信线路）+认证+完整性保护。

HTTPS和HTTP的区别主要如下：

1. https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。
2. http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。
3. http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。
4. http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。