HTTP协议请求响应过程和HTTPS工作原理

HTTP协议

HTTP协议主要应用是在服务器和客户端之间，客户端接受超文本。

服务器按照一定规则，发送到客户端（一般是浏览器）的传送通信协议。与之类似的还有文件传送协议(file transfer protocol,FTP)，简单邮件传送协议(simple mail ttransfer protocol,SMTP)等。

HTTP是在七层网络模型中的应用层的协议，由发送请求和接受响应构成，是一个标准的客户端服务器模型。与此同时，HTTP是一个无状态的协议。也就是说，不能通过一个状态判断连接的状态，因此有时候，计算机之间通信需要通过其他协议来协同工作，一起提供支持。

HTTP协议的工作特点

相对于其他网路传输协议，HTTP有着自己的特点，这也支撑了HTTP协议的基本职能。

（1）基于B/S 模式，即客户/服务器模式。同时可以提供登陆认证和网间安全传输，例如HTTP下加入SSL层，可以提供安全的HTTPS服务。

（2）通信开销小，简单快速，传输成本低。服务器请求某些一定的服务时，浏览者通常只需在请求报文中添加请求路径和方法。最一般的情形，例如GET、HEAD、POST等，这也是我们使用最多的。

每一种请求方法都有自己的适用范围，在请求报文的内部，通过一些规则，说明了用户与Web服务器之间沟通的类型。同时，HTTP协议规则较为简单，因此使用HTTP服务器的系统，代码和程序规模都会比较轻量级，但是通信的速度却效率较高。

（3）使用灵活：超文本协议，允许服务器和客户端传输任意类型或者任意数据结构的数据对象。而且，通过一个简单的头信息，例如将正在传输的类型由Content-Type加以标记，于是可以区分开。

（4）节省传输时间：最初版本的HTTP协议使用非持续连接，只允许发送并处理一个连接，当请求响应完成，也就是服务器完成客户端的请求，同时收到了客户端浏览器的应答后，连接会立即断开。有了这种特点，通信方式节省了大量用于数据传输和等待应答的时间，时间成本变得非常小。

同时，高版本HTTP协议，HTTP 1.1支持持续连接：多个对象可以通过一个连接可传送，不需要每次传输一个web对象就去创建一个新的连接。

（5）可能影响传输效率，无状态：HTTP协议是无状态协议。无状态，如果协议对于事务处理没有记忆的机制，不能存储处理进度，此时，如果后续的操作需要前面的处理信息，就需要重新发送对象即必须重传，这样的后果是，可能多次连接才能完成操作，数据量会因此变大。“在服务器端，每个HTTP请求都要启动独立的线程去处理，减少Http请求的数目可以有效提高访问性能（《大型网站技术架构》·李智慧）”。

HTTP协议的工作原理

通常情况下，HTTP协议的工作原理很好理解，用户通过客户端向服务端发起一个请求，创建一个TCP连接，指定端口号，默认是80，然后连接到服务器工作。在那个端口监听浏览器请求。一旦监听到客户端请求，分析请求类型后，服务器会向客户端返回一个响应状态，比如"HTTP/1.0 404 OK"，同时会返回特定的数据内容，如请求的资源，错误代码，其它状态信息等等。

（1）HTTP协议的请求报文

当浏览器向服务器发送一个请求到Web服务器,它发送一个数据块,或请求信息,

HTTP请求信息包括3部分:

请求方法URI协议/版本；

请求头(Request Header)；

请求正文；

下面是一个HTTP请求的示例：

GET/test.jsp HTTP/1.1

Accept:image/test.image/jpeg,*/*

Accept-Language:zh-cn

Connection:Keep-Alive

Host:222.35.232.103

User-Agent:Mozila/5.0(compatible;MSIE5.01;Window NT5.0)

Accept-Encoding:gzip,deflate

username=bingyue&password=bingyue

　　

（1）请求方法URI协议/版本

请求的第一行是“方法/内容 URL协议/协议版本名称”：

GET/test.jsp HTTP/1.1

上面的代码中，“GET”说明请求方法，“/test.jsp”表示网络资源，中间空格，最后说明协议和协议的版本。

根据HTTP标准，HTTP请求可以使用多种不同的请求方法。例如：HTTP1.1允许支持七种请求方法（也叫“动作”）：GET、POST、HEAD、OPTIONS、PUT、DELETE和TARCE（点击查看Get和Post的本质区别）。日常开发中， GET和POST是最常用的方法，主要在相关的Web开发中。

URL路径指定了要访问的网络资源。一般来说，我们需要的是相对路径，因为确定资源位置，知道网络资源相对于服务器的根目录的路径就可以，所以以“/”开头。在头信息结束时，声明了通信过程中HTTP协议版本的使用版本。

需要注意，方法名称很重要的一点是严格区分大小写。有些时候，某个请求所针对的资源可能不支持对应的请求方法，会通过不同的状态码给出响应。例如,服务器将返回一个状态码405(方法不允许),当请求服务器或方法不理解不支持相应的时间,返回一个状态码501(没有实现)。

（2）请求头(Request Header)

请求头包含了一些客户环境和请求的内容信息。例如,请求头可以声明浏览器内核和语言使用,请求的长度等。

Accept:image/test.image/jpeg.*/*

Accept-Language:zh-cn

Connection:Keep-Alive

Host:222.35.232.103

User-Agent:Mozila/5.0(compatible:MSIE5.01:Windows NT5.0)

Accept-Encoding:gzip,deflate.

（3）请求正文

请求正文和请求头要有空行。这个空行必须存在，说明结束请求头传输，开始传输正文请求。请求正文中一般包含很多信息，例如用户提交的用户名和密码之类的登陆信息：userlogin=bingyue&currentpwd=bingyue

在真实应用中，协议的请求正文可以包含大量的信息,而不是如示例的HTTP请

求中一样，请求正文只有简单的一行数据。

（2）HTTP协议的响应报文

和请求报文类似，HTTP响应主要也是3个部分构成：

（1）协议状态版本代码描述

（2）响应头(Response Header)

（3）响应正文

下面是一个HTTP响应的示例：

HTTP/1.1 200 OK

Server:Apache Tomcat/7.0.1

Date:Mon,6Oct2014 13:23:42 GMT

Content-Length:102

<html>
<head>

<title>HTTP响应文件<title>

</head>

<body>

这是HTTP响应文件！

</body>

</html>

客户端向服务器发送请求，和请求报文类似，服务器会以状态行响应。

响应报文包括：HTTP协议的版本、结果编码以及其他的必要信息，如实体信息等。响应类别不同，响应报文里可以包含或者不含实体内容。

HTTP响应报文的首先是以状态行开始，这些可以参考示例的代码。

响应头也就是报文首部，和请求头首部一样，包含重要的信息，例子中我们可以看到，比如日期时间和服务器类型以及内容长度和数量等。

HTTPS协议的工作原理

Https是一种基于SSL/TLS的Http协议，所有的http数据都是在SSL/TLS协议封装之上传输的。

Https协议在Http协议的基础上，添加了SSL/TLS握手以及数据加密传输，也属于应用层协议。

——>HTTP协议运行在TCP之上，所有传输的内容都是明文，客户端和服务器端都无法验证对方的身份。

——>HTTPS是运行在SSL/TLS之上的HTTP协议，SSL/TLS运行在TCP之上。所有传输的内容都经过加密，加密采用对称加密，但对称加密的密钥用服务器方的证书进行了非对称加密。

TLS/SSL中使用了非对称加密，对称加密以及HASH算法。

（1）对称加密和非对称加密

对称加密是指加密和解密使用的密钥是同一个密钥，或者可以相互推算。
对称加密的优点是算法简单，加解密效率高，系统开销小，适合对大数据量加密。
缺点是解密加密使用同一个密钥，需要考虑远程通信的情况下如何安全的交换密钥，如果密钥丢失，
所谓的加密解密就失效了。

非对称加密和解密使用的密钥不是同一密钥，其中一个对外界公开，被称为公钥，另一个只有所有者知道，
称作私钥。
用公钥加密的信息必须用私钥才能解开，反之，用私钥加密的信息只有用公钥才能解开。

（2）握手过程的简单描述

1.浏览器将自己支持的一套加密规则发送给网站。

2.网站从中选出一组加密算法与HASH算法，并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址，加密公钥，以及证书的颁发机构等信息。

3.获得网站证书之后浏览器要做以下工作：

a) 验证证书的合法性（颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等），如果证书受信任，则浏览器栏里面会显示一个小锁头，否则会给出证书不受信的提示。

b) 如果证书受信任，或者是用户接受了不受信的证书，浏览器会生成一串随机数的密码，并用证书中提供的公钥加密。

c) 使用约定好的HASH计算握手消息，并使用生成的随机数对消息进行加密，最后将之前生成的所有信息发送给网站。

4.网站接收浏览器发来的数据之后要做以下的操作：

a) 使用自己的私钥将信息解密取出密码，使用密码解密浏览器发来的握手消息，并验证HASH是否与浏览器发来的一致。

b) 使用密码加密一段握手消息，发送给浏览器。

5.浏览器解密并计算握手消息的HASH，如果与服务端发来的HASH一致，

此时握手过程结束，之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。

这里浏览器与网站互相发送加密的握手消息并验证，目的是为了保证双方都获得了一致的密码，并且可以正常的加密解密数据，为后续真正数据的传输做一次测试。

HTTPS一般使用的加密与HASH算法如下：

非对称加密算法：RSA，DSA/DSS

对称加密算法：AES，RC4，3DES

HASH算法：MD5，SHA1，SHA256

其中非对称加密算法用于在握手过程中加密生成的密码，对称加密算法用于对真正传输的数据进行加密，而HASH算法用于验证数据的完整性。

由于浏览器生成的密码是整个数据加密的关键，因此在传输的时候使用了非对称加密算法对其加密。

非对称加密算法会生成公钥和私钥，公钥只能用于加密数据，因此可以随意传输，而网站的私钥用于对数据进行解密，所以网站都会非常小心的保管自己的私钥，防止泄漏。

TLS握手过程中如果有任何错误，都会使加密连接断开，从而阻止了隐私信息的传输。

更多：

一次完整的HTTP事务是怎样一个过程？

关于OpenSSL“心脏出血”漏洞的分析

和安全有关的那些事(非对称加密、数字摘要、数字签名、数字证书、SSL、HTTPS及其他)