HTTP请求响应机制及https创建通讯机制

1.HTTP协议

Internate的基本协议是TCP/IP（传输控制协议和网际协议）。而目前使用的FTP，HTTP都是创建在TCP/IP上的应用层协议。不一样的协议对应不一样的应用。而HTTP协议是Web应用所使用的主要协议。

HTTP协议基于请求响应模式，客户端向服务器发送一个请求，请求头包含请求的方法，URI，协议版本以及包含请求修饰符，客户端信息和内容的相似MIME的消息结果。服务器则以一个状态行为做为响应，相应的内容包括消息协议的版本，成功或错误编码加上包含服务器信息，实体元信息以及可能的实体内容。

HTTP协议是无状态协议，依赖瞬间或者近乎瞬间的请求处理。请求信息被当即发送，理想的状况是没有延迟地进行处理；不过，延迟仍是客观存在的。HTTP协议有一种内置机制，在消息的传递时间上有必定的灵活性：超时机制。一个超时就是客户端等待请求消息返回信息的最长时间。
HTTP协议的请求和响应消息若是没有发送并传递成功的话，不保存任何已传递的信息。好比，单击“提交”按牛，若是表单没有发出去，则浏览器将会显示错误信息页，而且返回空白表单。虽然没有提交成功，可是HTTP不保存任何表单信息。

因为HTTP协议的上述特色，一般，客户端每次须要更新信息都必须从新向服务器发起请求，客户端接受到服务器端返回的信息后再刷新屏幕内容。
基于HTTP协议的客户端/服务器请求响应 机制的信息交换过程包含下面几个步骤：

1.创建链接：客户端与服务器创建TCP链接
2.发送请求：打开一个链接后，客户端把请求信息发送到服务器的相应端口上，完成请求动做提交。
3.发送响应：服务器在处理完客户端请求以后，要向客户端发送响应消息。
4.关闭链接：客户端和服务器端均可以关闭套接字来结束TCP/IP对话。

HTTP的工做机制就是请求消息和响应消息。嘴尖但的状况是一个拥护输入一个站点地址，发送一个请求。以后，浏览器返回所请求的页面，这个页面多是最简单的HTML页面，也多是动态编译后的页面。若是这个页面有错或者不存在，则WEB服务器则将发送一个错误的信息页面。

WEB服务器发送错误信息页是由于HTTP没有内置的处理机制，是无状态的，传输协议不记忆从一个请求消息到另外一个请求消息的任何信息（备注：意思是说，当发送一个请求消息发生错误，因为HTTP是无状态的，因此不能将这个发生错误的请求消息传递给另外一个请求消息进行处理，也是请求消息不能转弯，必须一次传到并获得处理） 这个特色能够保证WEB的一致性。可是，用户经常须要记忆一些设置内容或者浏览过程，这就须要在web页面或者URL中携带各类参数及值。HTTP请求有多种样式。其中经常使用的有GET，POST，HEAD请求。

//这3个请求暂时不提了

5.状态管理

正如前面所提到的，HTTP协议是无状态的，不能保存每次提交的信息，即当服务器返回与请求相对应的应答以后，此次事务的全部信息就都丢掉了。若是用户发来一个新的请求，服务器也没法知道它是否与上次的请求有联系。

对于简单的静态HTML文件来讲，这种特性是很适用，可是对于那些须要屡次提交请求才能完成的WEB操做好比购物车来讲，就成了问题了。服务器端的WEB应用程序必须容许用户经过多个步骤才能完成所有的物品采购。在这种状况下，应用程序必须跟踪由同一个浏览器发送的多哥请求所提供的信息，即记住用户的交易状态。

一般，采用两种方法来解决这个问题。一个是每次应答都返回完整的状态，让浏览器把它做为下次请求的一部分再发送过来。二是把状态保存在服务器的某个地方，只发送回一个标识符，浏览器在下次提交中把这个标识符发送过来；这样，就能够定位存贮在服务器上的状态信息了。

在这两种方法中，信息能够经过下列三种方法中的一种发送给浏览器：
1.做为COOKIE； 可是不是全部浏览器都支持，并且用户也能够禁用COOKIE
2.附加在主体的URL中
2.做为隐藏域嵌入HTML表单中；

当表但提交时，浏览器将做为常规HTTP参数的方式将这些信息返回服务器，当状态信息被注入时，它将做为请求URL的一部分传诵到服务器，可是这在浏览器和服务器之间来回传递信息的效率较低，因此通常仍是选择把信息保存在服务器中，即上面两种方法中的第二种。在浏览器和服务器之间来回传递一个标识符，这就是所谓的会话（session）跟踪。来自浏览器的全部包含同一个标识符（这里是SESSIONID）的请求同属于一个会话。

会话的有效期直到它被显式地终止为止，或者当拥护在异端时间内没有动做，由服务器自动设置为过时。目前没有办法通知服务器用户已经关闭浏览器，由于在浏览器和服务器之间没有一个持久的链接，而且浏览器关闭时也不向服务器发送信息。同时，关闭浏览器一般意味着会话ID丢失；COOKIE将国旗，或者注入了信息的URL将不能再使用。因此当用户再次打开浏览器的时候，服务器没法将心得请求与之前的会话联系起来，饿睿智能建立一个新的会话。然而，全部与前一个会话有关的数据依然存放在服务器上，直到会话过时被清除为止。

---

学技术时，老是会问什么？这里也不例外，https为何会存在，它有什么优势，又有什么缺点？为何网站有的用http，有的用https？若是不能很好的回答，就往下看吧。

http通讯存在的问题

容易被监听
http通讯都是明文，数据在客户端与服务器通讯过程当中，任何一点均可能被劫持。好比，发送了银行卡号和密码，hacker劫取到数据，就能看到卡号和密码，这是很危险的
被假装
http通讯时，没法保证通行双方是合法的，通讯方多是假装的。好比你请求www.taobao.com,你怎么知道返回的数据就是来自淘宝，中间人可能返回数据假装成淘宝。
被篡改
hacker中间篡改数据后，接收方并不知道数据已经被更改
共享密钥加密和公开密钥加密

后续内容的须要，这里插播一段共享密钥加密和公开密钥加密

共享密钥加密
共享密钥的加密密钥和解密密钥是相同的，因此又称为对称密钥
公开密钥加密
加密算法是公开的，密钥是保密的。公开密钥分为私有密钥和公有密钥，公有密钥是公开的，任何人(客户端)均可以获取，客户端使用公有密钥加密数据，服务端用私有密钥解密数据。
异同
共享密钥加密与公开密钥加密相比，加解密处理速度快，但公开密钥更适应互联网下使用
https解决的问题

https很好的解决了http的三个缺点（被监听、被篡改、被假装），https不是一种新的协议，它是http+SSL(TLS)的结合体，SSL是一种独立协议，因此其它协议好比smtp等也能够跟ssl结合。https改变了通讯方式，它由之前的http—–>tcp，改成http——>SSL—–>tcp；https采用了共享密钥加密+公开密钥加密的方式

防监听
数据是加密的，因此监听获得的数据是密文，hacker看不懂。
防假装
假装分为客户端假装和服务器假装，通讯双方携带证书，证书至关于身份证，有证书就认为合法，没有证书就认为非法，证书由第三方颁布，很难伪造
防篡改
https对数据作了摘要，篡改数据会被感知到。hacker即便从中改了数据也白搭。
https链接过程

服务器端须要认证的通讯过程

这里写图片描述

客户端发送请求到服务器端
服务器端返回证书和公开密钥，公开密钥做为证书的一部分而存在
客户端验证证书和公开密钥的有效性，若是有效，则生成共享密钥并使用公开密钥加密发送到服务器端
服务器端使用私有密钥解密数据，并使用收到的共享密钥加密数据，发送到客户端
客户端使用共享密钥解密数据
SSL加密创建………
客户端认证的通讯的过程

客户端须要认证的过程跟服务器端须要认证的过程基本相同，而且少了最开始的两步。这种状况都是证书存储在客户端，而且应用场景比较少，通常金融才使用，好比支付宝、银行客户端都须要安装证书
后续的问题

怎样保证公开密钥的有效性 你也许会想到，怎么保证客户端收到的公开密钥是合法的，不是伪造的，证书很好的完成了这个任务。证书由权威的第三方机构颁发，而且对公开密钥作了签名。https的缺点 https保证了通讯的安全，但带来了加密解密消耗计算机cpu资源的问题 ，不过，有专门的https加解密硬件服务器各大互联网公司，百度、淘宝、支付宝、知乎都使用https协议，为何？ 支付宝涉及到金融，因此出于安全考虑采用https这个，能够理解，为何百度、知乎等也采用这种方式？为了防止运营商劫持！http通讯时，运营商在数据中插入各类广告，用户看到后，怒火发到互联网公司，其实这些坏事都是运营商(移动、联通、电信)干的,用了https，运营商就无法插播广告篡改数据了。