《图解HTTP》学习笔记（一）

HTTP协议简介

HTTP协议和TCP/IP协议族内的其他众多的协议相同，用于客户端和服务器之间的通信。
HTTP是一种不保存状态，即无状态（stateless）协议，于是引入了Cookie技术。有了Cookie再用HTTP协议通信，就可以管理状态了。

URI

URI就是由某个协议方案表示的资源的定位标识符。协议方案是指访问资源所使用的协议类型名称。

HTTP方法

http支持的方法

持久连接

在早期的HTTP中，没进行一次HTTP请求就断开一次连接。
当某个网站有多个图片请求时，就会不断的进行连接和断开连接，增加了通信量的开销，为了防止这种现象，出现了一种方式HTTP keep-alive或HTTPconnection reuse，特点是只要任意一端没有明确提出断开连接，则保持TCP连接状态。

管道化

从前发送请求后需等待并收到响应，才能发送下一个请求。管线化技术出现后，不用等待响应亦可直接发送下一个请求。

Cookie

Cookie会根据从服务器端发送的响应报文内的一个叫做Set-Cookie的首部字段信息，通知客户端保存Cookie。当下次客户端再往该服务器发送请求时，客户端会自动在请求报文中加入Cookie值后发送出去。服务器端发现客户端发送过来的Cookie后，会去检查究竟是从哪一个客户端发来的连接请求，然后对比服务器上的记录，最后得到之前的状态信息。

首部字段

通用首部字段

请求首部字段

响应首部字段

实体首部字段

HTTP的缺点以及HTTPS的通信

• 通信使用明文（不加密），内容可能会被窃听
• 不验证通信方的身份，因此有可能遭遇伪装
• 无法证明报文的完整性，所以有可能已遭篡改
  HTTP+加密+认证+完整性保护=HTTPS

https通信

步骤1： 客户端通过发送Client Hello报文开始SSL通信。报文中包含客户端支持的SSL的指定版本、加密组件（Cipher Suite）列表（所使用的加密算法及密钥长度等）。
步骤2： 服务器可进行SSL通信时，会以Server Hello报文作为应答。和客户端一样，在报文中包含SSL版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。
步骤3： 之后服务器发送Certificate报文。报文中包含公开密钥证书。
步骤4： 最后服务器发送Server Hello Done报文通知客户端，最初阶段的SSL握手协商部分结束。
步骤5: SSL第一次握手结束之后，客户端以Client Key Exchange报文作为回应。报文中包含通信加密中使用的一种被称为Pre-master secret的随机密码串。该报文已用步骤3中的公开密钥进行加密。
步骤6： 接着客户端继续发送Change Cipher Spec报文。该报文会提示服务器，在此报文之后的通信会采用Pre-master secret密钥加密。
步骤7： 客户端发送Finished报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功，要以服务器是否能够正确解密该报文作为判定标准。
步骤8： 服务器同样发送Change Cipher Spec报文。
步骤9： 服务器同样发送Finished报文。
步骤10： 服务器和客户端的Finished报文交换完毕之后，SSL连接就算建立完成。当然，通信会受到SSL的保护。从此处开始进行应用层协议的通信，即发送HTTP请求。
步骤11： 应用层协议通信，即发送HTTP响应。
步骤12： 最后由客户端断开连接。断开连接时，发送close_notify报文。上图做了一些省略，这步之后再发送TCP FIN报文来关闭与TCP的通信。

https通信流程

为什么不一直使用https

• 因为与纯文本通信相比，加密通信会消耗更多的CPU及内存资源。
• 要进行HTTPS通信，证书是必不可少的。而使用的证书必须向认证机构（CA）购买。