一个请求过来都通过了什么

我面试人家的时候特别喜欢问一个问题：”请描述一下一个请求过来到响应完成都作了什么，越详细越好。” 对于一个高手来讲，他只要回答好了这一个问题，技术面试就经过了。因此若是我要去面试，我就把这个问题的答案压缩到40分钟到1个小时。由于通常的技术面试都是这个时间段哒，虽然我其实很想讲上两天。哎，一看咱们部门就是作业务的。

为了让人家听懂，我通常会设置一个业务场景。好比说：如今用户要开始上传一个视频。那么业务上要通过用户打开浏览器页面，用户点击[选择视频文件]按钮，JS端调用系统本地文件选择器，JS端将视频信息写入到浏览器页面，用户点击[开始上传]，此时开始发送请求。

我去哪里都是随身带纸笔哒，为了直观，我会画出页面效果，还不忘补充一句：选择完视频，JS端是能够获取到视频信息哒，如：名称，大小。能够根据业务须要直接在页面上展现，用户能够对名称进行编辑。

 

那么我就开始描述一下这个请求到响应都作了什么啦：

一 首先是关于HTTPS的

请求经过POST的方式通过HTTPS协议发送到服务器端。HTTPS自己并不是协议，而是标准的HTTP协议架在SSL/TLS协议之上的一种结构。因为HTTP协议是基于TCP/IP进行通信的，因此HTTPS必须暴露IP和端口，这部分不加密。

HTTPS须要在服务器端生成私钥，咱们服务器端用的RSA算法加密哒(对于有好几个算法发明专利的我来讲，面试时涉及到算法的地方是绝对不能漏掉哒)。而后建立签名请求的证书，而后能够去CA受权或者本身签发证书，最后将证书配置到nginx里。由于服务器上HTTPS是我配的，因此我会把这部分详细的讲出来。

HTTPS在传输数据前须要客户端与服务端进行一次握手，在握手过程当中将确立双方加密传输数据的密码信息。握手的时候才用非对称加密和HASH算法，握手后数据的传输才用对称加密。

握手过程以下：

1. 浏览器将本身支持的一套加密规则发送给网站。

2. 网站从中选出一组加密算法与HASH算法，并将本身的身份信息用证书的形式发送给浏览器。证书里包含了网站地址，加密公约，以及证书的颁发机构等信息。

3. 得到网站证书以后浏览器要作如下工做：

a) 验证证书的合法性(盘发证书的机构是否合法，是否过时，证书中包含的网站地址是否与正在访问的地址一致等)，若是证书受信任，则浏览器栏里面会显示一个小锁头，不然会给出证书不受信任的提示。通常的浏览器对于本身签发的证书都会给不收信息的提示。

b) 若是证书受信任，或者用户接受了不受信任的证书，浏览器会生成一串随机数的密码，用最开始约定好的HASH方式，把握手消息取HASH值，而后用用证书中提供的公钥加密”握手消息+握手消息HASH值”发送给服务端。

c) 服务端拿到客户端传来的密码，用本身的私钥来解密握手消息取出随机数密码，再用随机数密码解密握手消息与HASH值，并与传过来的HASH值作对比确认是否一致。而后服务端本身也生成一个随机密码加密一段握手消息(握手消息+握手消息的HASH值)给客户端。

d) 客户端用随机数解密并计算握手消息的HASH，若是与服务端发来的HASH一致，此时握手过程结束，以后的全部通讯数据将有以前浏览器和服务器生成的随机码生成的一个新的随机密码并利用对称加密算法进行加密。利用客户端和服务端的随机码来生成数据传输的随机码是为了防止写死的假随机码带来的安全隐患，使用对称加密是由于对称加密的加密加密过程比非对称快得多。

经常使用的非对称加密算法有: RSA,DSA/DSS; 对称加密算法有: AES,RC4,3DES; HASH算法:MD5,SHA1,SHA256。

二 而后是关于DNS的

请求会访问咱们公司云存储那边的DNS(Domain Name System, 域名系统)，这是因特网上做为域名和IP地址相互映射的一个分布式数据库，可以使用户更方便的访问互联网，而不用去记住可以被机器直接读取的IP数串。经过域名或主机名，最终获得该域名或主机名对应的IP地址的过程叫作域名解析(或主机名解析)。DNS协议运行在UDP协议之上，使用端口号53。DNS会有一些策略将静态的东西直接返回给浏览器，只有动态部分才继续向后面传递。发生过测试人员在同一台机器上在不一样的浏览器上用不一样用户登陆，结果刷新页面看到用户变了的奇怪现象，是DNS策略形成的（不负责这一块，不赘述）。

三 下面开始公司的7层代理

主要做用是转发到对应的业务nginx代理，公司使用的是SLB进行流量分发，负载均衡(不负责这一块，略过)

四 nginx反向代理和负载均衡

我有个什么都想说明白的习惯。提到反向代理，就要先说正向代理。正向代理通常叫代理。就是请求发起人找一个代理作一件事情，真正作事情的人只认识代理不认识请求发起人。经常使用FQ，就是http中介的一种：代理。因此咱们使用FQ代理服务器链接上了国外的网站，但那个网站并不知道咱们在使用。

反向代理是服务提供方出一个代理，请求人只跟代理打交道。好比这里请求只发给了nginx这个代理，后面的就是nginx本身进行处理，找到真正的业务处理服务器。若是是静态请求，如css,js啥的，就直接转向静态服务器。若是是动态请求就转向WEB应用服务器。然而不论是静态服务器仍是WEB应用服务器都是有好几台服务器。Nginx按照必定的策略对请求向业务服务器进行分配，让压力不集中在一台服务器，这就是负载均衡了。

Nginx除了配置实际处理业务的服务器，还能够配置一些安全策略，好比若是一个IP在1秒内请求了100次，那么将视为攻击，直接返回错误码，不向后传递请求。还能够配置超时等待时间，多媒体文件的容许大小等。

其实……，负载均衡在SLB代理那层已经作了，可是安全方面须要各个业务端本身处理，咱们每一个物理机基本上只提供一个服务，因此能够直接使用80端口的

五 WEB应用服务

WEB应用服务整体采用SOA架构。分红WEB前端，后台服务，API服务，共同模块和代理接口模块。

WEB前端是返回页面的，API服务是PC，手机各端都用到的共同接口。后台服务经过代理接口模块来和API服务及WEB前端服务进行通讯。代理接口里含有传递消息的可序列化POJO。共同模块含有一些公共方法。

请求根据nginx提供的IP和端口找到服务器上对应的WEB前端服务。咱们服务器上部署的是resin。咱们的WEB 服务采用的是SpringMVC框架(面试官哥哥会不会汗流满面，终于说到正题上了)。SpringMVC的实现原理和核心思想老掉牙了，略过(面试官哥哥是否是要惊愕了，其实只想听这个)。不过spring做为一个久经考验的框架，里面用到了几乎全部的设计模式，是应该好好总结一下的(之后专门写一篇，此处略过，面试官哥哥是否是又该开始擦汗了)。

Resin WEB应用中除了SpringMVC还有一些细小的逻辑，如通常会配置utf8编码器，logback监听器，guava限流。请求通过Spring加载上下文，上下文可使用类加载，配置文件加载等多种方式（策略模式）。加载后咱们调用的只是ApplicationContext(门面模式)，固然它同时也是一个Bean工厂(工厂模式)。DispatcherServlet将请求映射处处理器。我看过DispatcherServlet的源码，在初始化策略的时候，还支持多种类型的处理器（适配器模式）。处理器要通过拦截器对请求的用户身份等进行校验，校验不经过直接返回错误，校验经过找到对应的controller而后就开始进行参数校验。

校验不成功返回错误码。成功后HttpClient调用采用了Restful架构的视频资源系统进行内容建立。建立不成够返回错误码。成功则须要在数据库插入一条记录。调用DUBBO后台服务，服务的service层调用couchbase缓存取出当前记录是否存在，不存在则调用mybatis持久层框架到mysql数据库进行操做。操做成功后httpclient调用Restful架构的云存储那边返回视频上传初始化参数。结果回到controller里包装成ModelAndView对象，再通过拦截器注入一些session参数。由于http协议是无状态的，如今的系统又都是分布式的，不支持session，因此每次都须要在拦截器里将参数再塞入进去。而后原路返回响应。客户端收到响应后断开链接。由于http请求是无链接的。

固然处理过程当中会用到好多基于AOP的，好比调试，分析埋点，日志。

浏览器收到响应里含有的上传初始化连接（返回结果里带着的）就会调用这个连接将真正的视频介质传进去。通过别的部门的云存储，云转码。转码那边会给我用消息队列，咱们用的是qpidd mq采用direct的exchange发送到队列。咱们这边的监听器监听到队列里的消息就将消息解析存到数据库。整体流程图以下：