1.HTTP協議

1.1HTTP協議是什么

HTTP(HyperText Transfer Protocol:超文本傳輸協議)
超文本可以說是“超級文本”或者說是“帶超鏈接文本”，超鏈接文本可以有圖片、動圖、文字、視頻，從本質上說它是一個內容文本，我們對網站的瀏覽，實際上是對內容的瀏覽，對于這些內容，都有統一的路徑，我們稱之為URL地址
http(s): //<主機>:<埠>/<路徑>
http:表示協議，有http和https協議
主機可以是ip也可以是域名，如果是域名，會使用到DNS服務，將其轉換為ip地址，
埠：80埠表示http埠，443埠表示https埠，
路徑：指向特定的內容

https://www.imooc.com/
https://www.baidu.com/
https://www.taobao.com/
以上都是網站地址，
HTTP協議是可靠的資料傳輸協議，
可靠性是依賴于傳輸層的TCP協議來實作的，也就是說，HTTP協議的底層是TCP協議通過TCP協議的可靠性從而保證HTTP協議也是可靠的，
資料包括文本、圖片、檔案、動圖、視頻、音頻，這些構成了web網站內容，我們平時都是對這些內容進行瀏覽，

1.2 HTTP協議作業程序

HTTP協議運行在典型的C/S架構上，即客戶端服務器模式，客戶b端通常是我們的主機即手機電腦，服務端即我們的web服務器，這中間則運行著web服務器

web服務器可以分為硬體部分和軟體部分，硬體部分主要是一些邏輯性的設備，比如計算機也可以作為web服務器來運行，云服務器也可以作為硬體來部署，軟體部分則通過一些應用軟體來提供HTTP服務，比較典型的有Nginx和Apache

進行web開發的時候，我們離不開軟體部分，對于web服務器客戶端的連接和連接的處理程序如下
1.接受客戶端連接：在接收客戶端之前，需要告訴大家IP號和埠號，對于HTTP服務，如果沒有特別指定的話，一般都是80埠，IP地址也可以通過發布域名，讓大家通過訪問域名來訪問web服務器，客戶端知道IP地址和埠號就可以連接到web服務器，
2.接收請求報文：客戶端會構造一個HTTP報文，然后把它發送到web服務器，
3.處理請求：確定請求所需要的資源
4**.訪問web資源**：web服務其實是內容的提供，所以web服務器會對本機的資源進行一個獲取，然后把它回傳去，
5.構造應答
6.發送應答

1.3 HTTP請求方法

HTTP請求方法有主要有
GET:獲取指定的服務端資源
POST:提交資料到服務端（比如本地對某個資料進行了修改，我們希望服務端能夠把資料保存下來,就可以提交到服務端）
DELETE:洗掉指定的服務端資源
UPDATE:更新指定的服務端資源
如何指定資源
1.可在地址中指定如
https://coding.imooc.com/class/355.html
https://coding.imooc.com/?sort=0&unlearn=0&page=2

1.4.HTTP請求報文和應答報文

上圖即是HTTP請求報文的格式及內容，內容是以JSON格式來保存資料的，
如圖是HTTP應答報文的格式，我們重點了解http狀態碼

1.5 HTTP狀態碼

而了解HTTP應答報文之前需要了解HTTP狀態碼

200-299表示請求成功的回傳，300-399表示說訪問的資源可能在另一個服務器，然后把服務器的地址告訴客戶端，請客戶端再訪問另一個服務器，400-499，比如常見的404錯誤，表示客戶端訪問的資源不存在，500-599如果出現這個的話，表示服務端出現錯誤了，有可能是沒有處理的例外等等，

2.HTTPS協議

2.1.什么是https協議

http協議是明文傳輸的，我們在網路中通常會填寫賬號密碼，個人資訊，賬戶金額，交易資訊，敏感資訊等等都屬于需要保護的資訊，如果我們在http協議中進行資訊傳輸，那么很顯然是不安全的，網路中各個設備都可以看到這些資訊，如果有不法分子把這些資訊提取出來，這樣就會造成資訊泄露等
HTTPS(secure)是安全的HTTP協議
https : //<主機>:<埠>/<路徑>
埠一般使用443

2.2.加密模型

1.對稱加密：

如果一個資料經歷了加密和解密的階段，如果加密和解密兩個秘鑰一致，我們就認為它是對稱加密，也即加密和解密用同一把鑰匙，
2.非對稱加密

非對稱加密加密和解密的密鑰不一致，如果我們把密鑰看成是一把鑰匙的話，加密和解密使用的不是同一把鑰匙，
為了方便理解，我們把加密的看成是A，把解密的看成是B，加密和解密看成是一組密鑰，A離不開B，B離不開A，AB有一定的關系，
AB是擁有一定數學關系的一組密鑰
私鑰：私鑰自己使用，不對外公開
公鑰：公鑰給大家使用，對外公開

我們舉個例子來理解：假設老師有一組密鑰，然后老師把私鑰自己保存下來，公鑰老師供給大家，當同學們想給老師發送資料的時候，就可以使用公鑰來給資料加密，然后加密之后，就稱為密文了，然后再把密文交給老師，然后老師使用私鑰來進行解密，解密之后，然后就可以得到使用的資料了，

公鑰加密和私鑰解密

2.3.數字證書

數字證書是可信任組織頒發給特定物件的認證
可信任是對客戶端和服務端而言的，客戶端和服務端都認為組織是公平的，夠安全的，只有客戶端和服務端都認為安全的情況下，才可以是可信任的組織，如果只有服務端認為是安全的，但是客戶端不認為是安全的話，就不是可信任的
特定物件既可以是人、服務器和組織，只要是可以使用數字證書的理論上都可以成為物件，
數字證書的內容：

數字證書中包含了物件的公開密鑰，

SSL(Secure Sockets Layer:安全套階層）

SSL層是位于傳輸層和應用層之間，它是一個子層，提供資料安全和資料完整的服務，以及對傳輸層資料進行加密后傳輸，資料安全，保證資料不會被泄露，資料完整指的是資料在傳輸的程序中，不會被篡改，

2.4.HTTPS作業程序

以下是HTTPS作業程序

重點是第二個步驟，SSL安全引數握手，我們從這里面可以看到，經歷了第二個程序，就可以實作加密和解密了，
如下是SSL安全引數握手的程序

1.對客戶端，它首先會生成一個亂數1，然后再把亂數和相關的協議版本以及它所支持的加密演算法告訴服務端，這時候資料是明文的，不加密的，
2.服務器也會生成一個亂數，然后也會提供自己的數字證書，然后把客戶端的加密演算法進行確定，
通過第二步，雙方就能確定加密演算法是什么演算法了，但是此時還沒有確定密鑰，
當服務器把數字證書發送給客戶端，客戶端收到之后，夜壺捕獲到亂數2，此時客戶端和服務端都擁有亂數1和亂數2
3.客戶端首先會確認證書是否有效，如果無效，則認為服務器是不安全的，然后生成亂數3，并使用證書里面提供的公鑰加密亂數3，然后把加密之后的資料發送給服務端，此時客戶端和服務器都擁有了亂數1,2,3.
此時只有服務器自身才可以把亂數3解密，其他人就無法界面了，
4.此時雙方的資訊對稱，都擁有亂數1,2,3，然后根據亂數1,2,3,和相同的演算法生成對稱密鑰，生成對稱密鑰之后就可以進行加密的傳輸了，
HTTPS綜合使用對稱加密和非對稱加密
雙方分別生成秘鑰，沒有經過傳輸，減少了密鑰泄露的可能，

3.常見面試題總結

3.1.在瀏覽器中輸入url地址 ->> 顯示主頁的程序(面試常客)

上圖有一個錯誤，請注意，是OSPF不是OPSF， OSPF（Open Shortest Path First，ospf）開放最短路徑優先協議,是由Internet工程任務組開發的路由選擇協議

總體來說分為以下幾個程序:

DNS決議
TCP連接
發送HTTP請求
服務器處理請求并回傳HTTP報文
瀏覽器決議渲染頁面
連接結束
具體可以參考下面這篇文章

3.2.HTTP長連接,短連接

在HTTP/1.0中默認使用短連接，也就是說，客戶端和服務器每進行一次HTTP操作，就建立一次連接，任務結束就中斷連接，當客戶端瀏覽器訪問的某個HTML或其他型別的Web頁中包含有其他的Web資源（如JavaScript檔案、影像檔案、CSS檔案等），每遇到這樣一個Web資源，瀏覽器就會重新建立一個HTTP會話，

而從HTTP/1.1起，默認使用長連接，用以保持連接特性，使用長連接的HTTP協議，會在回應頭加入這行代碼：

Connection:keep-alive

在使用長連接的情況下，當一個網頁打開完成后，客戶端和服務器之間用于傳輸HTTP資料的TCP連接不會關閉，客戶端再次訪問這個服務器時，會繼續使用這一條已經建立的連接，Keep-Alive不會永久保持連接，它有一個保持時間，可以在不同的服務器軟體（如Apache）中設定這個時間，實作長連接需要客戶端和服務端都支持長連接，

HTTP協議的長連接和短連接，實質上是TCP協議的長連接和短連接，

3.3.HTTP是不保存狀態的協議,如何保存用戶狀態?

HTTP 是一種不保存狀態，即無狀態（stateless）協議，也就是說 HTTP 協議自身不對請求和回應之間的通信狀態進行保存，那么我們保存用戶狀態呢？Session 機制的存在就是為了解決這個問題，Session 的主要作用就是通過服務端記錄用戶的狀態，典型的場景是購物車，當你要添加商品到購物車的時候，系統不知道是哪個用戶操作的，因為 HTTP 協議是無狀態的，服務端給特定的用戶創建特定的 Session 之后就可以標識這個用戶并且跟蹤這個用戶了（一般情況下，服務器會在一定時間內保存這個 Session，過了時間限制，就會銷毀這個Session），

在服務端保存 Session 的方法很多，最常用的就是記憶體和資料庫(比如是使用記憶體資料庫redis保存)，既然 Session 存放在服務器端，那么我們如何實作 Session 跟蹤呢？大部分情況下，我們都是通過在 Cookie 中附加一個 Session ID 來方式來跟蹤，

3.4.HTTP 1.0和HTTP 1.1的主要區別是什么?

HTTP/1.0中，默認使用的是短連接，也就是說每次請求都要重新建立一次連接，HTTP 是基于TCP/IP協議的,每一次建立或者斷開連接都需要三次握手四次揮手的開銷，如果每次請求都要這樣的話，開銷會比較大，因此最好能維持一個長連接，可以用個長連接來發多個請求，HTTP 1.1起，默認使用長連接 ,默認開啟Connection： keep-alive， HTTP/1.1的持續連接有非流水線方式和流水線方式 ，流水線方式是客戶在收到HTTP的回應報文之前就能接著發送新的請求報文，與之相對應的非流水線方式是客戶在收到前一個回應后才能發送下一個請求，

3.5.HTTP 和 HTTPS 的區別？

埠 ：HTTP的URL由“http://”起始且默認使用埠80，而HTTPS的URL由“https://”起始且默認使用埠443，
安全性和資源消耗： HTTP協議運行在TCP之上，所有傳輸的內容都是明文，客戶端和服務器端都無法驗證對方的身份，HTTPS是運行在SSL/TLS之上的HTTP協議，SSL/TLS 運行在TCP之上，所有傳輸的內容都經過加密，加密采用對稱加密，但對稱加密的密鑰用服務器方的證書進行了非對稱加密，所以說，HTTP 安全性沒有 HTTPS高，但是 HTTPS 比HTTP耗費更多服務器資源，

• 對稱加密：密鑰只有一個，加密解密為同一個密碼，且加解密速度快，典型的對稱加密演算法有DES、AES等；
• 非對稱加密：密鑰成對出現（且根據公鑰無法推知私鑰，根據私鑰也無法推知公鑰），加密解密使用不同密鑰（公鑰加密需要私鑰解密，私鑰加密需要公鑰解密），相對對稱加密速度較慢，典型的非對稱加密演算法有RSA、DSA等，
  建議