一、HTTP 和 HTTPS 介紹

HTTP（HyperText Transfer Protocol）是一種無狀態(tài)的通信協(xié)議，通常用于在客戶端（例如瀏覽器）和服務(wù)器之間傳輸超文本（如 HTML 頁面）。但這僅僅是一個(gè)單向通信協(xié)議，數(shù)據(jù)傳輸過程中并未加密，所以它比較容易被中間人攻擊。無狀態(tài)，即不能保存每次提交的信息，如果用戶發(fā)來一個(gè)新的請(qǐng)求，服務(wù)器無法知道它是否與上次請(qǐng)求有關(guān)聯(lián)。

HTTPS（HyperText Transfer Protocol Secure），則是在 HTTP 的基礎(chǔ)上增加了加密層，使用 SSL/TLS 協(xié)議來保護(hù)數(shù)據(jù)的傳輸?？梢岳斫鉃?HTTP 的“高級(jí)版”，帶有加密的護(hù)航，讓數(shù)據(jù)在傳輸過程中更安全。

二、互聯(lián)網(wǎng)消息如何傳遞

在互聯(lián)網(wǎng)中，信息傳遞就像是一場(chǎng)復(fù)雜的郵遞過程，消息需要通過一系列的“郵局”（即路由器），逐步從發(fā)送方傳遞到接收方。為了讓這個(gè)過程更具邏輯性，我們可以將其比作寄送包裹的過程。

1、互聯(lián)網(wǎng)通信的路徑

1.訪問某個(gè)網(wǎng)站

訪問網(wǎng)站www.example.com。這個(gè)網(wǎng)址在互聯(lián)網(wǎng)上并不是唯一的地址，它只是一個(gè)更易于記憶的字符串。真正定位到網(wǎng)站的地址，必須通過它的 IP 地址。這就好比你想找一個(gè)朋友的住址，但只知道他的名字，你需要通過電話簿（類似 DNS 解析）來查找他具體的住址（IP 地址）。

2.瀏覽器發(fā)送請(qǐng)求

在瀏覽器中輸入網(wǎng)址后，瀏覽器會(huì)發(fā)起一個(gè)請(qǐng)求，這個(gè)請(qǐng)求會(huì)包含想要訪問的信息。例如，HTTP 請(qǐng)求頭中可能包含要訪問的頁面路徑、瀏覽器類型、語言等信息。就像向郵局遞交一個(gè)包裹，包裹里帶著想要發(fā)送的內(nèi)容（即請(qǐng)求信息）。

3.DNS 解析

由于 IP 地址很不好記憶，所以 DNS（域名系統(tǒng)）起到了將易記的域名（如www.example.com）轉(zhuǎn)換為計(jì)算機(jī)能夠理解的 IP 地址（如 192.168.1.1）的作用。這是通過向 DNS 服務(wù)器查詢來實(shí)現(xiàn)的。

4.路由器的作用

拿到正確的 IP 地址后，消息會(huì)通過一系列路由器（路由器就像郵遞員一樣，負(fù)責(zé)在各個(gè)“郵局”之間傳遞包裹）逐步轉(zhuǎn)發(fā)到目標(biāo)服務(wù)器。每個(gè)路由器根據(jù)接收到的包裹信息，決定將包裹轉(zhuǎn)發(fā)給哪個(gè)下一個(gè)路由器或最終目標(biāo)。這些路由器會(huì)通過 MAC 地址來標(biāo)識(shí)彼此，就像每個(gè)郵局都有一個(gè)地址和“郵遞員”一樣。

在這個(gè)過程中，MAC 地址是每臺(tái)網(wǎng)絡(luò)設(shè)備（如路由器、計(jì)算機(jī)等）唯一標(biāo)識(shí)的地址。MAC 地址常常在局域網(wǎng)內(nèi)起作用，而在互聯(lián)網(wǎng)上，數(shù)據(jù)包會(huì)依賴 IP 地址進(jìn)行轉(zhuǎn)發(fā)。

例如，當(dāng)你的包裹從一個(gè)路由器（網(wǎng)絡(luò)節(jié)點(diǎn)）到達(dá)下一個(gè)節(jié)點(diǎn)時(shí)，包裹的 "收件人地址"（即 MAC 地址）會(huì)發(fā)生變化，每經(jīng)過一個(gè)路由器，包裹的封面上的 “地址” 會(huì)更新為當(dāng)前路由器的 MAC 地址，直到最終到達(dá)目標(biāo)服務(wù)器。

5.目標(biāo)服務(wù)器響應(yīng)請(qǐng)求

當(dāng)數(shù)據(jù)包最終到達(dá)目標(biāo)服務(wù)器時(shí)，服務(wù)器會(huì)處理你的請(qǐng)求（例如返回一個(gè)網(wǎng)頁、圖片或文件）。服務(wù)器根據(jù)請(qǐng)求的信息，選擇正確的數(shù)據(jù)進(jìn)行返回。就像郵局在接收到包裹后，將其交給收件人。

6.響應(yīng)回傳

一旦目標(biāo)服務(wù)器生成了響應(yīng)，它會(huì)通過與請(qǐng)求時(shí)相同的路徑，逆向發(fā)送回給瀏覽器。由于路由器和中間設(shè)備的作用，數(shù)據(jù)包在路由過程中仍然會(huì)更新其 MAC 地址和其它信息，但最終會(huì)正確到達(dá)瀏覽器，呈現(xiàn)出網(wǎng)頁內(nèi)容。

2、IP 地址和 MAC 地址的作用

1.IP 地址

是每個(gè)網(wǎng)絡(luò)主機(jī)的唯一地址，主要用于尋址，讓數(shù)據(jù)包能夠找到目的地。你可以把 IP 地址看作“郵寄地址”，幫助路由器知道數(shù)據(jù)應(yīng)該發(fā)往哪里。

2.MAC 地址

是硬件設(shè)備（如網(wǎng)卡）的一種物理地址，它在局域網(wǎng)內(nèi)用于設(shè)備間的通信。可以理解為設(shè)備的“身份證”，每個(gè)設(shè)備都有一個(gè)獨(dú)特的 MAC 地址。

3.DNS 解析

人們使用域名而不是 IP 地址，主要是因?yàn)橛蛎菀子洃?。但?jì)算機(jī)只能通過 IP 地址找到目標(biāo)服務(wù)器，因此需要使用 DNS（域名解析系統(tǒng)）將域名轉(zhuǎn)換成 IP 地址。

三、端口號(hào)

網(wǎng)卡中具有許多和網(wǎng)絡(luò)通信的軟件，數(shù)據(jù)幀到達(dá)網(wǎng)卡后，根據(jù)端口號(hào)來區(qū)別不同的軟件或進(jìn)程，端口后是用來確定數(shù)據(jù)目的程序的

四、HTTP協(xié)議

HTTP（Hypertext Transfer Protocol），即超文本傳輸協(xié)議，是一種無狀態(tài)的請(qǐng)求-響應(yīng)協(xié)議，用于客戶端（通常是瀏覽器）和服務(wù)器之間的通信。它是互聯(lián)網(wǎng)中最基礎(chǔ)、最常用的協(xié)議之一。HTTP 協(xié)議在實(shí)現(xiàn)網(wǎng)頁瀏覽時(shí)起著核心作用，它是瀏覽器和服務(wù)器之間交換數(shù)據(jù)的語言。

1、什么是超文本

“超文本”指的是網(wǎng)頁上的內(nèi)容，通常以 HTML（Hypertext Markup Language）格式呈現(xiàn)。HTML 是用來描述網(wǎng)頁結(jié)構(gòu)的標(biāo)記語言，因此，HTTP 協(xié)議常常被用于傳輸 HTML 文件，當(dāng)然它也傳輸其他格式的文件，如圖片、視頻、JSON 數(shù)據(jù)等。

2、HTTP請(qǐng)求和響應(yīng)

HTTP 協(xié)議通過請(qǐng)求（Request）和響應(yīng)（Response）進(jìn)行數(shù)據(jù)交換。客戶端向服務(wù)器發(fā)送請(qǐng)求，服務(wù)器處理請(qǐng)求后返回響應(yīng)。

1.HTTP請(qǐng)求

客戶端（如瀏覽器）向服務(wù)器發(fā)起請(qǐng)求。通常情況下，客戶端不會(huì)主動(dòng)向服務(wù)器發(fā)起請(qǐng)求，而是由用戶觸發(fā)的操作（例如點(diǎn)擊鏈接、提交表單等）來生成請(qǐng)求。每個(gè) HTTP 請(qǐng)求都由三個(gè)主要部分組成：

請(qǐng)求的組成

（1）請(qǐng)求行（Request Line）：

請(qǐng)求方法（GET、POST、PUT、DELETE 等）

請(qǐng)求目標(biāo)（例如/index.html）

HTTP 版本（例如HTTP/1.1）

（2）請(qǐng)求頭（Request Header）：

請(qǐng)求頭包含了客戶端的相關(guān)信息。常見的請(qǐng)求頭如下：

Accept-Encoding：指定客戶端能夠接受的編碼方式，例如 gzip, deflate，用來壓縮響應(yīng)內(nèi)容。

Host：指定服務(wù)器的主機(jī)名，通常是網(wǎng)站的域名（如www.baidu.com）。

User-Agent：指定發(fā)起請(qǐng)求的瀏覽器類型，例如 Mozilla/5.0。

Cookie：客戶端保存的 Cookie 信息，用于跟蹤用戶狀態(tài)。

（3）請(qǐng)求正文（Request Body）：

請(qǐng)求正文包含實(shí)際請(qǐng)求的數(shù)據(jù)，通常用于 POST 或 PUT 請(qǐng)求，用于發(fā)送表單數(shù)據(jù)或文件。GET 請(qǐng)求一般沒有請(qǐng)求正文。

GET /index.html HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0
Accept-Encoding: gzip, deflate, br

這段請(qǐng)求的含義是：客戶端通過 GET 方法請(qǐng)求服務(wù)器上的/index.html 頁面，使用 HTTP/1.1 協(xié)議，且告訴服務(wù)器瀏覽器類型是 Mozilla/5.0，支持 gzip, deflate, br 等壓縮方式。

請(qǐng)求方式

GET：用于請(qǐng)求指定的資源，數(shù)據(jù)通過 URL 參數(shù)傳遞。適用于查詢數(shù)據(jù)。

POST：用于向服務(wù)器提交數(shù)據(jù)。適用于提交表單、文件上傳等操作。

PUT：用于更新指定資源，通常帶有請(qǐng)求正文。

DELETE：用于刪除指定資源。

GET請(qǐng)求

通過URL傳遞參數(shù)，URL與參數(shù)之間用?隔開，多個(gè)參數(shù)用&隔開，也是表單的默認(rèn)提交方式

GET傳送的數(shù)據(jù)量較小，主要是因?yàn)槭盏経RL長(zhǎng)度的限制

GET會(huì)將數(shù)據(jù)顯示到URL當(dāng)中，不安全

GET請(qǐng)求一般用于直接獲取數(shù)據(jù)，提高查詢速度。

GET是無副作用的，因此可以被緩存、書簽和分享

POST請(qǐng)求

POST的數(shù)據(jù)在請(qǐng)求主體內(nèi)，所以相對(duì)比較安全，但不是絕對(duì)安全

POST對(duì)上傳數(shù)據(jù)的大小無限制，POST請(qǐng)求可以做文件的上傳和下載。POST適用于增刪改操作

2.HTTP響應(yīng)

服務(wù)器接收到客戶端的請(qǐng)求后，會(huì)根據(jù)請(qǐng)求的內(nèi)容返回一個(gè)響應(yīng)。HTTP 響應(yīng)通常包含以下幾個(gè)部分：

響應(yīng)組成

（1）響應(yīng)狀態(tài)行（Response Status Line）：

HTTP 版本（如HTTP/1.1）

狀態(tài)碼（例如200 OK、404 Not Found、500 Internal Server Error等）

狀態(tài)描述（簡(jiǎn)短的文字描述）

（2）響應(yīng)頭（Response Header）：

響應(yīng)頭包含了服務(wù)器和返回?cái)?shù)據(jù)的一些元數(shù)據(jù)：

Content-Type：指定響應(yīng)數(shù)據(jù)的類型，如 text/html, application/json。

Content-Length：響應(yīng)內(nèi)容的長(zhǎng)度。

Set-Cookie：服務(wù)器設(shè)置的 Cookie，用于客戶端保存狀態(tài)。

（3）響應(yīng)正文（Response Body）：

響應(yīng)正文包含實(shí)際的響應(yīng)數(shù)據(jù)，例如 HTML 文件、JSON 數(shù)據(jù)或圖片等內(nèi)容。

響應(yīng)狀態(tài)碼

200 OK：請(qǐng)求成功，服務(wù)器成功返回?cái)?shù)據(jù)。

400 Bad Request：請(qǐng)求有語法錯(cuò)誤，服務(wù)器無法理解。

404 Not Found：請(qǐng)求的資源不存在。

405 Method Not Allowed：請(qǐng)求方法不被服務(wù)器支持。

500 Internal Server Error：服務(wù)器內(nèi)部錯(cuò)誤，無法處理請(qǐng)求。

502 Bad Gateway：服務(wù)器作為網(wǎng)關(guān)或代理，從上游服務(wù)器收到無效響應(yīng)。

HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 1234
 

  
    
Welcome to Example!
  

在這個(gè)響應(yīng)中，服務(wù)器告訴客戶端，/index.html 頁面已成功返回，并且響應(yīng)的內(nèi)容為 HTML 格式，長(zhǎng)度為 1234 字節(jié)，包含了網(wǎng)頁的內(nèi)容。

五、HTTPS

為了解決 HTTP 協(xié)議的安全問題，引入了 HTTPS（安全超文本傳輸協(xié)議）。HTTPS 在 HTTP 的基礎(chǔ)上加入了加密層，利用 SSL（安全套接字層）或 TLS（傳輸層安全協(xié)議）對(duì)數(shù)據(jù)進(jìn)行加密。通過 HTTPS 協(xié)議，數(shù)據(jù)在傳輸過程中會(huì)被加密，這不僅保證了數(shù)據(jù)的機(jī)密性（防止數(shù)據(jù)被竊?。?，還確保了數(shù)據(jù)的完整性（防止數(shù)據(jù)在傳輸過程中被篡改）。

1、HTTPS的加密方式

1.對(duì)稱加密

產(chǎn)生秘鑰，加密解密使用同一個(gè)秘鑰。對(duì)稱加密速度快，但秘鑰的安全性較低，若秘鑰在傳輸過程中被竊取，攻擊者就能輕易解密數(shù)據(jù)。

2.非對(duì)稱加密

產(chǎn)生公鑰和私鑰，公鑰加密的數(shù)據(jù)需要私鑰解密，私鑰加密的數(shù)據(jù)需要公鑰解密。處理速度相對(duì)較慢，但是安全性較高。

2、HTTPS的加密過程

1.握手階段：

客戶端與服務(wù)器之間首先進(jìn)行一系列的加密握手?？蛻舳苏?qǐng)求服務(wù)器時(shí)，服務(wù)器會(huì)返回一個(gè)數(shù)字證書，證書包含了公鑰和服務(wù)器的身份信息。客戶端通過驗(yàn)證證書的合法性來確認(rèn)服務(wù)器的身份是否可信。

2.密鑰交換：

在握手階段，客戶端和服務(wù)器會(huì)使用非對(duì)稱加密來交換密鑰。客戶端用服務(wù)器的公鑰加密生成的“會(huì)話秘鑰”（對(duì)稱秘鑰），然后將加密后的會(huì)話秘鑰發(fā)送給服務(wù)器。服務(wù)器用自己的私鑰解密出會(huì)話秘鑰。這樣，客戶端和服務(wù)器就建立了一個(gè)加密的通信通道，并可以使用會(huì)話秘鑰進(jìn)行后續(xù)的數(shù)據(jù)加密和解密。

3.數(shù)據(jù)加密傳輸階段：

在后續(xù)的數(shù)據(jù)傳輸過程中，客戶端和服務(wù)器會(huì)使用共享的對(duì)稱秘鑰進(jìn)行加密與解密操作。由于對(duì)稱加密的效率高，數(shù)據(jù)傳輸速度較快。

3、數(shù)字證書

為了防止第三方攻擊者偽裝成服務(wù)器進(jìn)行釣魚攻擊，HTTPS 使用數(shù)字證書來驗(yàn)證服務(wù)器的身份。數(shù)字證書就像是一個(gè)網(wǎng)站的“身份證”，它由認(rèn)證機(jī)構(gòu)（CA）頒發(fā)，包含了服務(wù)器的公鑰和身份信息。

證書組成

證書的持有者信息（如公司名稱、網(wǎng)站域名等）

公鑰

證書頒發(fā)機(jī)構(gòu)（CA）的信息

證書的有效期

數(shù)字簽名（確保證書的完整性，防止篡改

認(rèn)證機(jī)構(gòu)（CA）是經(jīng)過各國政府認(rèn)可的權(quán)威機(jī)構(gòu)，它們負(fù)責(zé)簽發(fā)和驗(yàn)證證書的合法性?？蛻舳嗽谠L問 HTTPS 網(wǎng)站時(shí)，瀏覽器會(huì)驗(yàn)證證書的有效性，確保該證書由受信任的 CA 簽發(fā)并且沒有過期。

證書驗(yàn)證過程

當(dāng)客戶端訪問 HTTPS 網(wǎng)站時(shí)，首先會(huì)收到服務(wù)器發(fā)送的數(shù)字證書。客戶端會(huì)檢查證書的有效性，向證書的發(fā)布機(jī)構(gòu)（CA）確認(rèn)證書是否合法。如果證書有效，客戶端會(huì)提取公鑰來加密生成的會(huì)話秘鑰，并將加密后的秘鑰發(fā)送給服務(wù)器。

六、Cookie和Session

1、Cookie

Cookie 是存儲(chǔ)在客戶端瀏覽器中的小文件，用于保存用戶的狀態(tài)信息。由于 HTTP 協(xié)議是無狀態(tài)的，即每次請(qǐng)求都無法自動(dòng)攜帶上次的狀態(tài)信息，因此需要借助 Cookie 來維護(hù)狀態(tài)。

1.Cookie特點(diǎn)

存儲(chǔ)在客戶端，容易被篡改或盜用。

可以設(shè)置過期時(shí)間。

每次請(qǐng)求都會(huì)隨請(qǐng)求頭一起發(fā)送，可能會(huì)影響請(qǐng)求性能。

2、Session

Session 是在服務(wù)器端保存的用戶會(huì)話信息，每個(gè)客戶端在訪問服務(wù)器時(shí)，服務(wù)器會(huì)分配一個(gè)唯一的 session ID。這個(gè) ID 通常存儲(chǔ)在客戶端的 Cookie 中，當(dāng)客戶端再次請(qǐng)求時(shí)，瀏覽器會(huì)自動(dòng)帶上這個(gè) session ID，服務(wù)器通過 session ID 找到對(duì)應(yīng)的會(huì)話信息。

1.Session特點(diǎn)

存儲(chǔ)在服務(wù)器端，相對(duì)更加安全。

需要借助客戶端的 Cookie 來維持會(huì)話。

不會(huì)暴露在客戶端，防止被篡改。

3、Cookie和Session對(duì)比

七、總結(jié)HTTP和HTTPS