计算机网络 HTTP协议基础
目录
URI和URL
与URI (统一资源标识符)相比,我们更熟悉URL (UniformResource Locator, 统一资源定位符)。
URL正是使用Web浏览器等 访问Web页面时需要输入的网页地址。比如,下图的http://hackr.jp/ 就是URL。
统一资源标识符
URI是Uniform Resource Identifier的缩写。RFC2396分别对这3个单 词进行了如下定义。
Uniform
规定统一的格式可方便处理多种不同类型的资源,而不用根据上下文 环境来识别资源指定的访问方式。另外,加入新增的协议方案(如http: 或ftp:)也更容易。
Resource
资源的定义是 可标识的任何东西。除了文档文件、图像或服务(例 如当天的天气预报)等能够区别千其他类型的,全都可作为资源。另 外,资源不仅可以是单一的,也可以是多数的集合体。
Identifier
表示可标识的对象。也称为标识符。
综上所述,URI就是由某个协议方案表示的资源的定位标识符。协议 方案是指访问资源所使用的协议类型名称。
采用HTTP协议时,协议方案就是http。除此之外,还有ftp、mailto、telnet、file等。标准的URI协议方案有30种左右,由隶属于 国际互联网资源管理的非营利社团I CANN (Internet Corporation for Assigned Names and Numbers, 互联网名称与数字地址分配机构)的 IANA (Internet Assigned Numbers Authority, 互联网号码分配局)管理 颁布。
URI用字符串标识某一互联网资源,而URL表示资源的地点(互联 网上所处的位置)。可见URL是URI的子集。
列举了几种URI例 子,如下所示。
ftp://ftp.is.co.za/rfc/rfc1808.txt
http://1N1N1N.ietf.org/rfc/rfc2396.txt
ldap://[2001:db8::7]/c=GB?objectClass?one
mailto:[email protected]
ne1Ns:comp.infosystems.1N1N1N.servers.unix tel:+1-816-555-1212
telnet://192.0.2.16:80/ urn:oasis:names:specification:docbook:dtd:xml:4.1.2
URI格式
表示指定的URI, 要使用涵盖全部必要信息的绝对URI、绝对URL以 及相对URL。相对URL, 是指从浏览器中基本URI处指定的URL, 形如/image/logo.gif。
让我们先来了解一下绝对URI的格式。
协议
使用http: 或https: 等协议方案名获取访问资源时要指定协议类型。不 区分字母大小写,最后附一个冒号(:)。
也可使用data: 或javascript: 这类指定数据或脚本程序的方案名。
登录信息(认证)
指定用户名和密码作为从服务器端获取资源时必要的登录信息(身份 认证)。此项是可选项。
服务器地址
使用绝对URI必须指定待访问的服务器地址。
地址可以是类似hackr.jp这种DNS可解析的名称,
或是192.168.1.1这类ipv4地址 名,
还可以是[0:0:0:0:0:0:0:1]这样用方括号括起来的ipv6地址名。
服务器端口号
指定服务器连接的网络端口号。此项也是可选项,若用户省略则自动 使用默认端口号。
带层次的文件路径
指定服务器上的文件路径来定位特指的资源。这与UNIX系统的文件 目录结构相似。
查询字符串
针对已指定的文件路径内的资源,可以使用查询字符串传入任意参 数。此项可选。
片段标识符
使用片段标识符通常可标记出已获取资源中的子资源(文档内的某个 位置)。但在RFC中并没有明确规定其使用方法。该项也为可选项。
并不是所有的应用程序都符合RFC
有一些用来制定HTTP协议技术标准的文档,它们被称为 RFC (Request for Comments, 征求修正意见书)。
通常,应用程序会遵照由RFC确定的标准实现。可以说,RFC是 互联网的设计文档,要是不按照RFC标准执行,就有可能导致无 法通信的状况。比如,有一台Web服务器内的应用服务没有遵照 RFC的标准实现,那Web浏览器就很可能无法访问这台服务器了。
由千不遵照RFC标准实现就无法进行HTTP协议通信,所以基本 上客户端和服务器端都会以RFC为标准来实现HTTP协议。但也 存在某些应用程序因客户端或服务器端的不同,而未遵照RFC标 准,反而将自成一套的“标准“扩展的情况。
不按RFC标准来实现,当然也不必劳心费力让自己的“标准”符合 其他所有的客户端和服务器端。但设想一下,如果这款应用程序的 使用者非常多,那会发生什么情况?不难想象,其他的客户端或服 务器端必然都不得不去配合它。
实际在互联网上,已经实现了HTTP协议的一些服务器端和客户端 里就存在上述情况。说不定它们会与本书介绍的HTTP协议的实现 情况不一样。
HTTP 协议用于客户端和服务器端之间 的通信
HTTP协议和TCP/IP协议族内的其他众多的协议相同,用千客户端和 服务器之间的通信。
请求访问文本或图像等资源的一端称为客户端,而提供资源响应的一 端称为服务器端。
图:应用HTTP协议时,必定是一端担任客户端角色,另一端担 任服务器端角色
在两台计算机之间使用HTTP协议通信时,在一条通信线路上必定有 一端是客户端,另一端则是服务器端。
有时候,按实际情况,两台计算机作为客户端和服务器端的角色有可 能会互换。但就仅从一条通信路线来说,服务器端和客户端的角色是 确定的,而用HTTP协议能够明确区分哪端是客户端,哪端是服务器 端。
通过请求和响应的交换达成通信
HTTP协议规定,请求从客户端发出,最后服务器端响应该请求并返 回。换句话说,肯定是先从客户端开始建立通信的,服务器端在没有 接收到请求之前不会发送响应。
下面,我们来看一个具体的示例。
下面则是从客户端发送给某个HTTP服务器端的请求报文中的内容。
起始行开头的GET表示请求访问服务器的类型,称为方法(method)。随后的字符串/index.htm指明了请求访问的资源对象, 也叫做请求URI (request-URI)。最后的HTTP/1.1, 即HTTP的版本 号,用来提示客户端使用的HTTP协议功能。
综合来看,这段请求内容的意思是:请求访问某台HTTP服务器上的 /index.htm页面资源。
请求报文是由请求方法、请求URI、协议版本、可选的请求首部字段 和内容实体构成的。
请求首部字段及内容实体稍后会作详细说明。接下来,我们继续讲 解。接收到请求的服务器,会将请求内容的处理结果以响应的形式返 回。
在起始行开头的HTTP/1.1表示服务器对应的HTTP版本。
紧挨着的200 OK表示请求的处理结果的状态码(status code)和原因 短语(reason-phrase)。下一行显示了创建响应的日期时间,是首部 字段(header field)内的一个属性。
接着以一空行分隔,之后的内容称为资源实体的主体(entity body)。
响应报文基本上由协议版本、状态码(表示请求成功或失败的数字代 码)、用以解释状态码的原因短语、可选的响应首部字段以及实体主 体构成。稍后我们会对这些内容进行详细说明。
HTTP是不保存状态的协议
HTTP是一种不保存状态,即无状态(stateless)协议。HTTP协议自 身不对请求和响应之间的通信状态进行保存。也就是说在HTTP这个 级别,协议对于发送过的请求或响应都不做持久化处理。
HTTP协议自身不具备保存之前发送过的请求或响应的功能 使用HTTP协议,每当有新的请求发送时,就会有对应的新响应产 生。协议本身并不保留之前一切的请求或响应报文的信息。这是为了 更快地处理大量事务,确保协议的可伸缩性,而特意把HTTP协议设 计成如此简单的。
可是,随着Web的不断发展,因无状态而导致业务处理变得棘手的 情况增多了。比如,用户登录到一家购物网站,即使他跳转到该站的其他页面后,也需要能继续保持登录状态。针对这个实例,网站为了 能够掌握是谁送出的请求,需要保存用户的状态。
HTTP/1.1虽然是无状态协议,但为了实现期望的保持状态功能,于 是引入了Cookie技术。有了Cookie再用HTTP协议通信,就可以管 理状态了。
请求URI定位资源
HTTP协议使用URI定位互联网上的资源。正是因为URI的特定功 能,在互联网上任意位置的资源都能访问到。
当客户端请求访问资源而发送请求时,URI需要将作为请求报文中的 请求URI包含在内。指定请求URI的方式有很多。
除此之外,如果不是访问特定资源而是对服务器本身发起请求,可以 用一个*来代替请求URI。下面这个例子是查询HTTP服务器端支持 的HTTP方法种类。
告知服务器意图的HTTP方法
GET: 获取资源
GET方法用来请求访问已被URI识别的资源。指定的资源经服务器 端解析后返回响应内容。也就是说,如果请求的资源是文本,那就保 持原样返回;如果是像CGI (Common Gateway Interface, 通用网关接 口)那样的程序,则返回经过执行后的输出结果。
使用GET方法的请求·响应的例子
POST: 传输实体主体
POST方法用来传输实体的主体。
虽然用GET方法也可以传输实体的主体,但一般不用GET方法进行 传输,而是用POST方法。虽说POST的功能与GET很相似,但POST的主要目的并不是获取响应的主体内容。
PUT: 传输文件
PUT方法用来传输文件。就像FTP协议的文件上传一样,要求在请 求报文的主体中包含文件内容,然后保存到请求URI指定的位置。
但是,鉴于HTTP/1.1的PUT方法自身不带验证机制,任何人都可以 上传文件,存在安全性问题,因此一般的Web网站不使用该方法。若 配合Web应用程序的验证机制,或架构设计采用 REST (REpresentational State Transfer, 表征状态转移)标准的同类 Web网站,就可能会开放使用PUT方法。
HEAD: 获得报文首部
HEAD方法和GET方法一样,只是不返回报文主体部分。用千确认 URI的有效性及资源更新的日期时间等。
DELETE: 删除文件
DELETE方法用来删除文件,是与PUT相反的方法。DELETE方法按 请求URI删除指定的资源。
但是,HTTP/1.1的DELETE方法本身和PUT方法一样不带验证机 制,所以一般的Web网站也不使用DELETE方法。当配合Web应用 程序的验证机制,或遵守REST标准时还是有可能会开放使用的。
OPTIONS: 询问支持的方法
OPTIONS方法用来查询针对请求URI指定的资源支持的方法。
TRACE: 追踪路径
TRACE方法是让Web服务器端将之前的请求通信环回给客户端的方 法。
发送请求时,在Max-Forwards首部字段中填入数值,每经过一个服 务器端就将该数字减1, 当数值刚好减到0时,就停止继续传输,最 后接收到请求的服务器端则返回状态码200 OK的响应。
客户端通过TRACE方法可以查询发送出去的请求是怎样被加工修改 /篡改的。这是因为,请求想要连接到源目标服务器可能会通过代理 中转,TRACE方法就是用来确认连接过程中发生的一系列操作。
但是,TRACE方法本来就不怎么常用,再加上它容易引发XST (Cross-Site Tracing, 跨站追踪)攻击,通常就更不会用到了。
CONNECT: 要求用隧道协议连接代理
CONNECT方法要求在与代理服务器通信时建立隧道,实现用隧道协 议进行TCP通信。主要使用SSL (Secure Sockets Layer, 安全套接 层)和TLS (Transport Layer Security, 传输层安全)协议把通信内容 加密后经网络隧道传输。
CONNECT方法的格式如下所示。
使用方法下达命令
向请求URI指定的资源发送请求报文时,采用称为方法的命令。
方法的作用在于,可以指定请求的资源按期望产生某种行为。方法中 有GET、POST和HEAD等。
下表列出了HTTP/1.0和HTTP/1.1支持的方法。另外,方法名区分大 小写,注意要用大写字母。
表: HTTP/1.0和HTTP/1.1支持的方法
在这里列举的众多方法中,LINK和UNLINK已被HTTP/1.1废弃,不 再支持。
持久连接节省通信量
HTTP协议的初始版本中,每进行一次HTTP通信就要断开一次TCP 连接。
以当年的通信情况来说,因为都是些容量很小的文本传输,所以即使 这样也没有多大问题。可随着HTTP的普及,文档中包含大量图片的 情况多了起来。
比如,使用浏览器浏览一个包含多张图片的HTML页面时,在发送 请求访问HTML页面资源的同时,也会请求该HTML页面里包含的 其他资源。因此,每次的请求都会造成无谓的TCP连接建立和断 开,增加通信量的开销。
持久连接
为解决上述TCP连接的问题,HTTP/1.1和一部分的HTTP/1.0想出了 持久连接(HTTP Persistent Connections, 也称为HTTP keep-alive或 HTTP connection reuse)的方法。持久连接的特点是,只要任意一端 没有明确提出断开连接,则保持TCP连接状态。
持久连接的好处在于减少了TCP连接的重复建立和断开所造成的额 外开销,减轻了服务器端的负载。另外,减少开销的那部分时间,使 HTTP请求和响应能够更早地结束,这样Web页面的显示速度也就相 应提高了。
在HTTP/1.1中,所有的连接默认都是持久连接,但在HTTP/1.0内并 未标准化。虽然有一部分服务器通过非标准的手段实现了持久连接, 但服务器端不一定能够支持持久连接。毫无疑问,除了服务器端,客 户端也需要支持持久连接。
管线化
持久连接使得多数请求以管线化(pipelining)方式发送成为可能。从 前发送请求后需等待并收到响应,才能发送下一个请求。管线化技术 出现后,不用等待响应亦可直接发送下一个请求。这样就能够做到同时并行发送多个请求,而不需要一个接一个地等待 响应了。
比如,当请求一个包含10张图片的HTML Web页面,与挨个连接相 比,用持久连接可以让请求更快结束。而管线化技术则比持久连接还 要快。请求数越多,时间差就越明显。
使用Cookie的状态管理
HTTP是无状态协议,它不对之前发生过的请求和响应的状态进行管 理。也就是说,无法根据之前的状态进行本次的请求处理。
假设要求登录认证的Web页面本身无法进行状态的管理(不记录已 登录的状态),那么每次跳转新页面不是要再次登录,就是要在每次 请求报文中附加参数来管理登录状态。
不可否认,无状态协议当然也有它的优点。由于不必保存状态,自然 可减少服务器的CPU及内存资源的消耗。从另一侧面来说,也正是 因为HTTP协议本身是非常简单的,所以才会被应用在各种场景里。
保留无状态协议这个特征的同时又要解决类似的矛盾问题,于是引入 了Cookie技术。Cookie技术通过在请求和响应报文中写入Cookie信 息来控制客户端的状态。
Cookie会根据从服务器端发送的响应报文内的一个叫做Set-Cookie的 首部字段信息,通知客户端保存Cookie。当下次客户端再往该服务器 发送请求时,客户端会自动在请求报文中加入Cookie值后发送出去。
服务器端发现客户端发送过来的Cookie后,会去检查究竟是从哪一 个客户端发来的连接请求,然后对比服务器上的记录,最后得到之前 的状态信息。
上图展示了发生Cookie交互的情景,HTTP请求报文和响应报文的内 容如下。