网络--TCP/IP（六）HTTP

本文会介绍以下知识：

TCP/IP HTTP关系

HTTP协议概述

POST请求和GET请求

Cookie和Session

数据传输时的加密

HTTPS简介

前面见了这么多协议与层，首先我们将他们梳理一下。

一、TCP/IP 与HTTP的关系

TCP/IP是个协议组，可分为三个层次：网络层、传输层和应用层。
在网络层有IP协议、ICMP协议、ARP协议、RARP协议和BOOTP协议。
在传输层中有TCP协议与UDP协议。
在应用层有FTP（主机之间传输文件，不受操作系统的限制）、HTTP、TELNET、SMTP、DNS等协议。
因此，HTTP本身就是一个协议，是从Web服务器传输超文本到本地浏览器的传送协议。HTTP是应用层协议，主要解决如何包装数据。WEB使用HTTP协议作应用层协议，以封装HTTP 文本信息，然后使用TCP/IP传输层协议将它发到网络上。
为了更好理解，把IP想像成一种高速公路，它允许其它协议在上面行驶并找到到其它电脑的出口。TCP和UDP是高速公路上的“卡车”，它们携带的货物就是像HTTP，文件传输协议FTP这样的协议等。
虽然HTTP本身是一个协议，但其最终还是基于TCP的，每个HTTP请求都需要通过TCP建立连接，然后在连接的基础上请求/响应。HTTP/1.0为每一次HTTP的请求/响应建立一条新的TCP链接，HTTP/1.1将只建立一次TCP的链接而重复地使用它传输一系列的请求/响应消息，因此减少了链接建立的次数和经常性的链接开销。
Socket

Socket

实际上socket是对TCP/IP协议的封装，Socket本身并不是协议，而是一个调用接口(API)。Socket的出现只是使得程序员更方便地使用TCP/IP协议栈而已，是对TCP/IP协议的抽象。

建立Socket连接至少需要一对套接字，其中一个运行于客户端，称为ClientSocket ，另一个运行于服务器端，称为ServerSocket 。
　　套接字之间的连接过程分为三个步骤：服务器监听，客户端请求，连接确认。
　　1、服务器监听：服务器端套接字并不定位具体的客户端套接字，而是处于等待连接的状态，实时监控网络状态，等待客户端的连接请求。
　　2、客户端请求：指客户端的套接字提出连接请求，要连接的目标是服务器端的套接字。
　　为此，客户端的套接字必须首先描述它要连接的服务器的套接字，指出服务器端套接字的地址和端口号，然后就向服务器端套接字提出连接请求。
　　3、连接确认：当服务器端套接字监听到或者说接收到客户端套接字的连接请求时，就响应客户端套接字的请求，建立一个新的线程，把服务器端套接字的描述发给客户端，一旦客户端确认了此描述，双方就正式建立连接。

二、HTTP协议概述

在OSI七层模型中，HTTP协议处于最顶层的应用层。通过浏览器访问网页就使用了HTTP协议。使用HTTP协议时，客户端首先与服务端的80端口建立TCP连接，然后在这个连接的基础上进行请求和应答，以及数据的交换。
HTTP有两个常用的版本，1.0和1.1。主要区别在于在HTTP1.0中每次请求和应答都会新建一个TCP连接；而从HTTP1.1开始，运行在一个连接上发送多个命令和应答。因此，大幅减少了TCP连接的建立和断开，提高了效率。

1. HTTP请求报文

请求报文结构

请求行（request-line）：（Get /homepage.html HTTP/1.1）

请求方法
请求资源路径
协议类型和版本

请求头（header）：若干消息头
请求头中至少包含如下信息：

客户端要访问的服务器主机地址
Host: m.baidu.com

还可以包含如下信息:

User-Agent: iPhone AppleWebKit //客户端的类型，客户端
的软件环境
Cookie：客户端通过这个头可以向服务器带数据
content-type=text/html //发送的数据类型
Accept: text/html //客户端所能接收的数据类型
Accept-Language: zh-cn //客户端的语言环境
Accept-Encoding: gzip //客户端支持的数据压缩格式
Connection: Close //访问结束后，是否断开连接
Accept-Charset:GB2312,utf-8;q=0.7,*;q=0.7 //客户端采用的编码格式

空行(blank-line):
最后一个请求头之后是一个空行，分割请求头
请求包体
这个部分不在GET方法中使用，在POST方法中使用。POST方法适用于客户提交表单的场合。与请求数据相关的最常用的请求头是Content-Type和Content-Length。

2.HTTP响应报文

HTTP响应报文

状态行：HTTP/1.1 200 OK（CRLF）

协议和版本
状态码
状态码的描述

常见状态码：

100-199 : 表示成功接收请求, 要求客户端继续提交下一次请求才能完成整个处理过程
200-299: 表示成果接收请求并已完成整个处理过程. 常用200
300-399: 为完成请求, 客户需进一步细化需求: 例如: 请求的资源已经移动一个新地址, 常用302(重定向), 307和304(拿缓存)
400-499: 客户端的请求有错误, 包含语法错误或者不能正确执行. 常用404(请求的资源在web服务器中没有) 403(服务器拒绝访问, 权限不够)
500-599: 服务器端出现错误


200 　　 正常　　 表示一切正常, 返回的是正常请求结果
201     Created
302/307　　临时重定向　　指出请求的文档已被临时移动到别处, 此文档的新的url在location响应头中给出
304　　未修改　　表示客户机缓存的版本是最新的, 客户机应该继续使用它
400       Bad Request
403　　禁止　　服务器理解客户端请求, 但拒绝处理它, 通常用于服务器上文件或目录的权限设置所致
404　　找不到　　服务器上不存在客户机所请求的资源
500　　服务器内部错误　　服务器端的cgi, asp, jsp等程序发生错误

响应头：包含了对服务器的描述，对返回数据的描述

Server: Apache/2.4.10 (Unix) PHP/5.5.20 //服务器的类型
Content-Type: text/html //返回数据的类型
Content-Length: 660 //返回数据的长度
Date: Thu, 04 Jun 2015 19:31:50 GMT //响应时间
ETag: "294-4e1862f57e7c0" //ETag(HASH值，用于检测本地资源和服务器资源是否一致)

空行(blank-line)：
和请求报文空行一样
响应包体（body）
服务器返回给客户端的数据。

三、URL

URL，全称是UniformResourceLocator，中文名叫统一资源定位符，是互联网是用来标识某一处资源的地址。下面介绍URL的组成部分：
scheme://user:password@host:port:/path;parameters?query#fragment

URL1：http://www.jianshu.com/p/a76303c7f262
URL2：ftp://xun:[email protected]
URL3：mailto:[email protected]
URL4：http://www.joes-hardware.com/hammers;sale=false/index.html;graphics=true
URL5：http://www.joes-hardware.com/inventory-check.cgi?item=12371&color=blue
URL6：http://www.joes-hardware.com/tools.html#dirlls

scheme：访问URL的方案，访问资源服务器时所使用的协议。如URL1，是通过HTTP协议去访问的，同理URL2是通过ftp协议去访问，URL3是通过SMTP去访问。
user：某些方案访问资源时需要用户名，默认匿名（也就是没有啦，不用输入）。如URL2和URL3中，我们的用户名就是xun。
password：访问资源服务器时，可能需要密码与用户名用:
隔开。如URL2中，密码就是listen。
host：资源服务器的主机名或IP地址。在URL1，www.jianshu.com 会被DNS解析出IP地址。
port：资源服务器监听的端口号，大部分方案有默认端口，如HTTP端口号默认为80。
path：服务器上的资源本地名，由一个/
与前面的URL组件分开来（路径组件的语法和方案有关）。如URL1，其path为p/a76303c7f262
parameterString：某些方案会用它来指定输入参数。参数为key=value，与其余部分用;隔开。如URL4中，参数为sale=false/index.html;graphics=true。
query：某些方案会用这个组件传递参数以激活应用程序。查询组件没有通用格式，用?与其余部分分隔开来，并用&
连接查询条件。如URL5，其查询条件为item=12371&color=blue
fragment：一小片或一部分资源的名字。引用对象时，不会将fragment传给服务器，这个字段是客户端内部使用的。通过#与其他部分分隔开来。如URL6中，drills引用了tools.html
中的一部分，这个部分的名字叫drills。

四、POST请求和GET请求区别

GET请求数据参数会拼接在URL中，一是不安全太容易被发现，二是URL的长度有限制。而POST请求会把数据放到请求体中，安全稍微提高那么一点，因为截获报文扔能看到，长度没有限制。
GET请求可以被缓存，比如登录页面，如果通过GET请求提交，用户名和密码都会被添加到URL上，这个页面可以被缓存下来，或在历史记录中被查看。
尽管POST不会被直接看到，但是如果截获报文，仍然能看到body体中的数据，所以最安全的方式还是加密。
从语义的角度回答：

get，用于获取资源，需要是安全的、幂等的、可缓存的。
post，用于处理资源，是非安全的、非幂等的、不可缓存的。

三个特性说明：

安全性：不应该引起server端任何的状态变化。即使是多次操作。GET、HEAD、OPTIONS都是安全的。
幂等性：同一种请求方法执行一次和执行多次的效果完全相同。
可缓存：请求是否可以被缓存。在发送一个http请求的时候，路径是不确定的，可能会通过网关、代理服务器，代理服务器是会有缓存的，这种缓存性是官方文档定义的一种规范，我们可以遵从也可以不遵从，大多数我们是遵从的。所以我们在执行请求的时候可能请求到的是一个缓存结果。

五、加密

加密分为两种，对称加密和非对称加密。在解释这两个概念之前，我们先看看简单的加密、解密过程。

加密解密

所谓的对称，就是指加密和解密的密钥相同，而非对称自然就是指不同。
举个对称加密的例子。假设现在加密算法是加法，解密算法是减法，传输数据是10，密钥是1。发送方对数据进行加密10+1=11，解密方对接收到的数据11进行解密，11-1=10。于是得到了加密前的数据。
在非对称加密中，通过公钥加密的数据只能通过私钥解密，通过私钥加密的数据只能通过公钥解密。
常见的非对称加密的算法是RSA算法，它主要利用了“将两个素数求乘积容易，但是将乘积分解为两个素数很难”这一思想。具体原理可以参考：RSA 加密

质数又称素数。一个大于1的自然数，除了1和它自身外，不能被其他自然数整除的数叫做质数(2,3,5,7,11,13等)；否则称为[合数]。

对称加密的优点是速度快，但是假设密钥由服务器保存，如何将密钥由服务器安全的发送到客户端，就是需要考虑的问题了。因此实际的网络传输中，经常采用对称加密和非对称加密相结合的方式：服务端通过非对称加密将对称密钥发送给客户端，然后双方用这个密钥通过对称加密传输数据。

六、HTTP的特点

1. 无连接

每次请求都需要三次握手四次挥手来建立断开连接。
解决方案：持久连接。
具体的使用：

如何使用持久连接？
在请求头中设置：
Connection : keep-alive //表示为持久连接
time : 20 //表示持续时间20秒
max : 10 //这条连接最多可以发生多少个http请求
如何判断一个请求是否结束？
通过响应头：

Content-length ：1024 ，通过相应头中该字段来判断客户端是否收到了这么多内容，来判断。
我们通过post请求数据时，往往需要多次响应，来返回数据的，这时每个返回报文的响应头中都会有个字段chunked，最后一个响应块的响应头中的chunked字段对应为空。所以，我们可以通过判断chunked是否为空来判断是否结束了

2. 无状态

HTTP是一种无状态的协议，一旦数据交互完毕，客户端与服务端的连接就会断开。但有些时候，我们需要持久的保存一些信息，比如上次连接的信息，如用户信息：用户名、密码等。
Cookie就是这样一种机制，它可以弥补HTTP无状态的不足。在Session出来之前，基本所有网站都是采用Cookie来跟踪会话。Cookie不能跨域使用。
Session是服务端记录客户端状态的一种机制，使用上比Cookie简单一些，相应的也会增加服务器的存储压力。

cookie数据存放在客户的浏览器上，session数据放在服务器上；
cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗，考虑到安全应当使用session；
session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能。考虑到减轻服务器性能方面，应当使用COOKIE；
cookie总大小在客户端也有限制（基本是4k），Firefox和Safari允许cookie多达4097个字节，包括名（name）、值（value）和等号。
每个域名cookie有限制，Firefox每个域名cookie限制为50个。

NSURL：确定要访问的资源
NSURLRequest：根据 URL建立请求，向服务器索要数据
：建立网络连接，将请求(异步)发送给服务器

资料：
2-cookies和session(个人附加token)
[面试∙网络] TCP/IP（六）：HTTP 与 HTTPS 简介
3-http协议(2017-04-21更新请求方法)