http & https & http/2 & SPDY & WebSocket

参考文章：

http https ：https://www.jianshu.com/p/d286d097e56b

https & ssl:https://www.jianshu.com/p/29a90d057510?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

证书：http://blog.csdn.net/liweisnake/article/details/40074321

HTTP是什么

HTTP协议是Hyper Text Transfer Protocol（超文本传输协议）的缩写,是用于从万维网（WWW:World Wide Web ）服务器传输超文本到本地浏览器的传送协议。
HTTP是一个基于TCP/IP通讯协议来传递数据（HTML 文件, 图片文件, 查询结果等）。
HTTP是一个属于应用层的面向对象的协议，因为其简捷、快速的方式，适用于分布式超媒体信息系统。它于1990年提出，通过几年的使用与发展，获得不断地完善和扩展。目前在WWW中使用的是HTTP/1.0的第六版，HTTP/1.1的规范化工做正在进行之中，并且HTTP-NG(Next Generation of HTTP)的建议已经提出。
HTTP协议工做于客户端-服务端架构为上。浏览器做为HTTP客户端经过URL向HTTP服务端即WEB服务器发送全部请求。Web服务器根据接收到的请求后，向客户端发送响应信息。

HTTP主要特色

1.简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法经常使用的有GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不一样。因为HTTP协议简单，使得HTTP服务器的程序规模小，于是通讯速度很快。
2.灵活：HTTP容许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。
3.无链接：无链接的含义是限制每次链接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开链接。采用这种方式能够节省传输时间。
4.无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺乏状态意味着若是后续处理须要前面的信息，则它必须重传，这样可能致使每次链接传送的数据量增大。另外一方面，在服务器不须要先前信息时它的应答就较快。
5.支持B/S及C/S模式

HTTP & SPDY & WebSocket
HTTP的不足

HTTP协议通过多年的使用，发现了一些不足，主要是性能方面的，包括：

• HTTP的短链接问题，HTTP客户端和服务器之间的交互是采用请求/应答模式，在客户端请求时，会创建一个HTTP链接，而后发送请求消息，服务端给出应答消息，而后链接就关闭了。（后来的HTTP1.1支持持久链接）
• 由于TCP链接的创建过程是有开销的，若是使用了SSL/TLS开销就更大
• 在浏览器里，一个网页包含许多资源，包括HTML，CSS，JavaScript，图片等等，这样在加载一个网页时要同时打开链接到同一服务器的多个链接
• HTTP消息头问题，如今的客户端会发送大量的HTTP消息头，因为一个网页可能须要50-100个请求，就会有至关大的消息头的数据量
• HTTP通讯方式问题，HTTP的请求/应答方式的会话都是客户端发起的，缺少服务器通知客户端的机制，在须要通知的场景，如聊天室，游戏，客户端应用须要不断地轮询服务器

    而SPDY和WebSocket是从不一样的角度来解决这些不足中的一部分。除了这两个技术，还有其余技术也在针对这些不足提出改进

SPDY
SPDY的主要目的是减小50%以上的页面加载时间，可是呢不增长部署的复杂性，不影响客户端和服务端的Web应用，只须要浏览器和Web服务器支持SPDY。主要有如下几点：

• 多路复用，一个TCP链接上同时跑多个HTTP请求。请求可设定优先级
• 去除不须要的HTTP头，压缩HTTP头，以减小须要的网络带宽
• 使用了SSL做为传输协议提供数据安全
• 对传输的数据使用gzip进行压缩
• 提供服务方发起通讯，并向客户端推送数据的机制

实质上，SPDY就是想不影响HTTP语义的状况下，替换HTTP底层传输的协议来加快页面加载时间。
SPDY的解决办法就是设计了一个会话层协议--帧协议，解决多路复用，优先级等问题，而后在其上实现了HTTP的语义
WebSocket

WebSocket则提供使用一个TCP链接进行双向通信的机制，包括网络协议和API，以取代网页和服务器采用HTTP轮询进行双向通信的机制。
本质上来讲，WebSocket是不限于HTTP协议的，可是因为现存大量的HTTP基础设施，代理，过滤，身份认证等等，WebSocket借用HTTP和HTTPS的端口
因为使用HTTP的端口，所以TCP链接创建后的握手消息是基于HTTP的，由服务器判断这是一个HTTP协议，仍是WebSocket协议。 WebSocket链接除了创建和关闭时的握手，数据传输和HTTP没丁点关系了。WebSocket也有本身一套帧协议。

HTTP/1.X VS HTTP/2

(HTTP/2解决的问题相似SPDY)

是二进制的而非文本的

有别于 HTTP/1.1 中的明文请求，HTTP/2 将一个 TCP 链接分为若干个流 (stream)，每一个流中能够传输若干消息 (message)，每一个消息由若干最小的二进制帧 (frame) 组成。这样更利于高效地解析，并且不容易出错，毕竟 HTTP/1.x 的 header 中有空白行、大小写、换行、空行之类的规定。

是彻底多路复用而非按顺序和阻塞的

HTTP/1.x 有一个 head-of-line blocking 的问题，它会让一个链接一次只能发送一个请求。多路复用容许多个请求和响应消息同时发出，甚至能够混合一个消息的一部分和另外一个消息。

只开一个链接用于并发的请求

HTTP/1.x 中为了加载资源会同时打开多个 TCP 链接，每一个链接在响应时又都会发送大量数据，存在中间网络 (intervening network) 缓冲区溢出的危险，致使网络阻塞和重发 ( retransmits)。并且，使用那么多的 TCP 链接也是一种大量占用网络资源的行为。

压缩头部

在大型网站中，一个页面每每要请求大量资源并获得相应，算上那些往返的话，那么头部就会占据至关大的开销，因此压缩头部的好处便变得显而易见了。

容许服务器主动推送资源给客户端

在 HTTP/1.x 中，当浏览器请求了一个页面，服务器发送了 HTML 页面的响应，而后服务器须要等待浏览器解析了 HTML 文件后再发起嵌入在 HTML 页面中的多个资源的请求，想一想都以为慢。而服务器端推送避免了这种往返的延迟，服务器会主动推送它认为的客户端会须要缓存的资源。要当心的是，这个功能滥用的话，会损害性能。

URI & URL

URL：(Uniform/Universal Resource Locator 的缩写，统一资源定位符)。
URI：(Uniform Resource Identifier 的缩写，统一资源标识符)（表明一种标准）。
URI 属于 URL 更高层次的抽象，一种字符串文本标准。
就是说，URI 属于父类，而 URL 属于 URI 的子类。URL 是 URI 的一个子集。
两者的区别在于，URI 表示请求服务器的路径，定义这么一个资源。而 URL 同时说明要如何访问这个资源（http://）

HTTP通讯机制是在一次完整的HTTP通讯过程当中，Web浏览器与Web服务器之间将完成下列7个步骤：

（1）    创建TCP链接
在HTTP工做开始以前，Web浏览器首先要经过网络与Web服务器创建链接，该链接是经过TCP来完成的，该协议与IP协议共同构建Internet，即著名的TCP/IP协议族，所以Internet又被称做是TCP/IP网络。HTTP是比TCP更高层次的应用层协议，根据规则，只有低层协议创建以后才能，才能进行更层协议的链接，所以，首先要创建TCP链接，通常TCP链接的端口号是80
（2）    Web浏览器向Web服务器发送请求命令
一旦创建了TCP链接，Web浏览器就会向Web服务器发送请求命令
例如：GET/sample/hello.jsp HTTP/1.1
（3）    Web浏览器发送请求头信息
浏览器发送其请求命令以后，还要以头信息的形式向Web服务器发送一些别的信息，以后浏览器发送了一空白行来通知服务器，它已经结束了该头信息的发送。
（4）    Web服务器应答
客户机向服务器发出请求后，服务器会客户机回送应答，
HTTP/1.1 200 OK
应答的第一部分是协议的版本号和应答状态码
（5）    Web服务器发送应答头信息
正如客户端会随同请求发送关于自身的信息同样，服务器也会随同应答向用户发送关于它本身的数据及被请求的文档。
（6）    Web服务器向浏览器发送数据
Web服务器向浏览器发送头信息后，它会发送一个空白行来表示头信息的发送到此为结束，接着，它就以Content-Type应答头信息所描述的格式发送用户所请求的实际数据
（7）    Web服务器关闭TCP链接
通常状况下，一旦Web服务器向浏览器发送了请求数据，它就要关闭TCP链接，而后若是浏览器或者服务器在其头信息加入了这行代码
Connection:keep-alive
TCP链接在发送后将仍然保持打开状态，因而，浏览器能够继续经过相同的链接发送请求。保持链接节省了为每一个请求创建新链接所需的时间，还节约了网络带宽。　　

HTTP请求格式

当浏览器向Web服务器发出请求时，它向服务器传递了一个数据块，也就是请求信息，HTTP请求信息由3部分组成：
   请求方法URI协议/版本
   请求头(Request Header)
   请求正文

下面是一个HTTP响应的例子：

GET/sample.jspHTTP/1.1
Accept:image/gif.image/jpeg,*/*
Accept-Language:zh-cn
Connection:Keep-Alive
Host:localhost
User-Agent:Mozila/4.0(compatible;MSIE5.01;Window NT5.0)
Accept-Encoding:gzip,deflate
username=jinqiao&password=1234
 
（1）请求方法URI协议/版本
请求的第一行是“方法URL议/版本”：GET/sample.jsp HTTP/1.1
以上代码中“GET”表明请求方法，“/sample.jsp”表示URI，“HTTP/1.1表明协议和协议的版本。
根据HTTP标准，HTTP请求可使用多种请求方法。例如：HTTP1.1支持7种请求方法：GET、POST、HEAD、OPTIONS、PUT、DELETE和TARCE。在Internet应用中，最经常使用的方法是GET和POST
URL完整地指定了要访问的网络资源，一般只要给出相对于服务器的根目录的相对目录便可，所以老是以“/”开头，最后，协议版本声明了通讯过程当中使用HTTP的版本

         GET方法
GET方法是默认的HTTP请求方法，咱们平常用GET方法来提交表单数据，然而用GET方法提交的表单数据只通过了简单的编码，同时它将做为URL的一部分向Web服务器发送，所以，若是使用GET方法来提交表单数据就存在着安全隐患上。例如
Http://127.0.0.1/login.jsp?Name=zhangshi&Age=30&Submit=%cc%E+%BD%BB
从上面的URL请求中，很容易就能够辩认出表单提交的内容。（？以后的内容）另外因为GET方法提交的数据是做为URL请求的一部分因此提交的数据量不能太大
         POST方法
POST方法是GET方法的一个替代方法，它主要是向Web服务器提交表单数据，尤为是大批量的数据。POST方法克服了GET方法的一些缺点。经过POST方法提交表单数据时，数据不是做为URL请求的一部分而是做为标准数据传送给Web服务器，这就克服了GET方法中的信息没法保密和数据量过小的缺点。所以，出于安全的考虑以及对用户隐私的尊重，一般表单提交时采用POST方法。
　　从编程的角度来说，若是用户经过GET方法提交数据，则数据存放在QUERY＿STRING环境变量中，而POST方法提交的数据则能够从标准输入流中获取。

（2）请求头(Request Header)

请求头包含许多有关的客户端环境和请求正文的有用信息。例如，请求头能够声明浏览器所用的语言，请求正文的长度等。
Accept:image/gif.image/jpeg.*/*
Accept-Language:zh-cn
Connection:Keep-Alive
Host:localhost
User-Agent:Mozila/4.0(compatible:MSIE5.01:Windows NT5.0)
Accept-Encoding:gzip,deflate.

（3）请求正文

请求头和请求正文之间是一个空行，这个行很是重要，它表示请求头已经结束，接下来的是请求正文。请求正文中能够包含客户提交的查询字符串信息：
username=jinqiao&password=1234
在以上的例子的HTTP请求中，请求的正文只有一行内容。固然，在实际应用中，HTTP请求正文能够包含更多的内容

HTTP应答格式

协议状态版本代码描述
响应头(Response Header)
响应正文
下面是一个HTTP响应的例子：

HTTP/1.1 200 OK
Server:Apache Tomcat/5.0.12
Date:Mon,6Oct2003 13:23:42 GMT
Content-Length:112
 
<html> <head>
<title>HTTP响应示例<title>
</head>
<body>
Hello HTTP!
</body>
</html>

（1）协议状态代码描述HTTP响应的第一行相似于HTTP请求的第一行，它表示通讯所用的协议是HTTP1.1服务器已经成功的处理了客户端发出的请求（200表示成功）:
HTTP/1.1 200 OK

    HTTP应答码
　也称为状态码，它反映了Web服务器处理HTTP请求状态。HTTP应答码由3位数字构成，其中首位数字定义了应答码的类型：
　  1XX－信息类(Information),表示收到Web浏览器请求，正在进一步的处理中
　  2XX－成功类（Successful）,表示用户请求被正确接收，理解和处理例如：200 OK
      3XX-重定向类(Redirection),表示请求没有成功，客户必须采起进一步的动做。
      4XX-客户端错误(Client Error)，表示客户端提交的请求有错误 例如：404 NOTFound，意味着请求中所引用的文档不存在。
      5XX-服务器错误(Server Error)表示服务器不能完成对请求的处理：如 500
      对于咱们Web开发人员来讲掌握HTTP应答码有助于提升Web应用程序调试的效率和准确性。

（2）响应头(Response Header)响应头也和请求头同样包含许多有用的信息，例如服务器类型、日期时间、内容类型和长度等：

Server:Apache Tomcat/5.0.12
Date:Mon,6Oct2003 13:13:33 GMT
Content-Type:text/html
Last-Moified:Mon,6 Oct 2003 13:23:42 GMT
Content-Length:112

（3）响应正文响应正文就是服务器返回的HTML页面：

<html> <head>
<title>HTTP响应示例<title>
</head>
<body>
Hello HTTP!
</body>
</html>

HTTP的缺点

1）通讯内容为明文，即未加密，内容可能会被窃听

所以，须要对通讯进行加密以防止窃听。
一种加密方式是将通讯加密。HTTP没有加密机制，须要配合SSL（安全套接层）或TLS（安全传输层协议）来对通讯进行加密。配合SSL使用得HTTP则称为HTTPS。另外一种是经过对通讯报文的具体内容进行加密。
虽然咱们能够对通讯的内容进行加密，但其仅仅是达到让攻击者难以破解报文的目的，可是加密后的报文自己仍是可以被截获。目前获取报文信息的软件也有不少，如Sniffer和Wireshark等

2）通讯双方的身份没有进行验证，可能出现假装身份的状况

全部人均可以对服务器发起请求

能够看出，对于客户端来讲，没法肯定这台Web服务器是不是“真的”服务器，可能经过了假装。对于服务器来讲，也没法肯定本身返回的报文是否被真正的客户端接收到。
此外，服务器的全盘接收的缺点也会被利用来进行DOS攻击。
所以，以客户端为例，客户端在与服务器通讯以前须要肯定服务器的身份，该身份便是一份证书，该证书有值得信赖的第三方颁发，客户端确认身份后才进行通讯

3）接受的报文完整性没法肯定，可能中途被改动
咱们知道，服务器接收到请求后，会进行响应。但服务器和客户端都没法知道报文中途的传输是否出现了问题。颇有可能在传输时被其余攻击者进行了篡改，报文完整性遭到破坏

HTTPS是什么

 

HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，所以加密的详细内容就须要SSL。 它是一个URI scheme（抽象标识符体系），句法类同http:体系。用于安全的HTTP数据传输。https:URL代表它使用了HTTPS，但HTTPS存在不一样于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通信方法，如今它被普遍用于万维网上安全敏感的通信，例如交易支付方面


SSL会使通讯的效率下降
    通讯速率下降
       HTTPS 除了TCP链接，发送请求，响应以外，还须要进行SSL通讯。总体通讯信息量增长。
    加密过程消耗资源
       每一个报文都须要进行加密和解密的运算处理。比起HTTP会消耗更多的服务器资源。
    证书开销
       若是想要经过HTTPS进行通讯，就必须向认证机构购买证书。

HTTPS和HTTP的区别

1）https协议须要到ca申请证书，通常免费证书不多，须要交费。2）http是超文本传输协议，信息是明文传输，https 则是具备安全性的ssl加密传输协议。3）http和https使用的是彻底不一样的链接方式，用的端口也不同，前者是80，后者是443。4）http的链接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。