《应用层HTTP协议》课件

应用层协议HTTP协议是互联网应用层最常用的协议之一它是客户端和服务器之间交互的HTTP标准，用于网页浏览、文件传输和数据交换等WD课程目标了解协议掌握报文格式熟悉方法和状态码HTTP HTTP HTTP理解协议的基本概念，掌握协学习请求消息和响应消息的结构，理掌握常用的方法和状态码，并能分析HTTP HTTP HTTPHTTP议的工作原理解各字段的含义请求和响应HTTP简介HTTP（超文本传输协议）是应用层协议，用于在客户端和服务器之间传输数HTTP据使用协议作为底层传输协议，建立可靠的连接，并通过请求和响HTTP TCP应模式进行通信主要用于浏览器访问服务器，获取网页、图片、视频等内HTTP webweb容的特点HTTP无状态应用层协议文本协议灵活的协议每次请求都是独立的，服务器工作在协议栈消息使用文本格式，便支持多种请求方法和响HTTP TCP/IP HTTPHTTP不保存之前的状态信息的应用层，负责处理数据传于理解和调试，但数据传输效应状态码，可以满足各种应用输率较低需求连接方式HTTP非持久连接持久连接12每个请求响应都需要建立一一个连接可以处理多个请/TCP个新的连接效率较低，求响应提高效率，但需要TCP/但易于实现额外的状态管理管道连接3允许在同一连接上同时发送多个请求，并按顺序接收响应进一步提升效率请求消息格式HTTP请求消息用于向服务器发送请求，包含请求方法、、协议版本、请求头和请求体等信息HTTP URI起始行1包含请求方法、请求和协议版本信息URI请求头2描述请求的附加信息，如内容类型、编码方式、缓存策略等空行3用于分隔请求头和请求体请求体4包含请求数据，如表单数据、文件上传等请求方法HTTPGET POST获取资源，不修改服务器数据向服务器发送数据，修改服务器请求参数在中，安全性低数据请求参数在请求体中，安URL全性高PUT DELETE完全替换服务器上的资源，要求删除服务器上的资源请求体包含完整资源数据与URI URL统一资源标识符统一资源定位符是用于标识互联网资源的字符串是的一种特定形式，它提供访问资源的路径URI URLURI响应消息格式HTTP状态行1包含版本、状态码和状态描述HTTP响应头2包含服务器信息、响应内容类型和编码信息响应体3包含服务器返回的实际数据内容响应消息由状态行、响应头和响应体组成，用于向客户端提供请求结果的信息HTTP响应状态码HTTP100200300信息性成功重定向请求已接收，继续处理请求已成功处理需要进一步操作以完成请求400500客户端错误服务器错误请求有语法错误或无法完成服务器遇到错误，无法完成请求机制Cookie定义作用Cookie Cookie是网站服务器发送给客户用于保存用户登录信息、Cookie Cookie端浏览器的一小段文本信息，存购物车内容等，以便网站服务器储在用户的计算机上在下次访问时识别用户分类管理Cookie Cookie•会话用户可以通过浏览器设置管理Cookie，包括禁用、删除持久Cookie Cookie•Cookie等Cookie机制Session简介建立数据存储使用Session Session Session Session是服务器端技术，用于当用户首次访问网站时，服务服务器会将数据与用户在访问不同页面时，浏览Session Session跟踪用户在网站上浏览的各个器会创建一个新的，并关联，并在用户访器会将发送回服务Session Session ID Session ID页面数据存储在服务生成一个，发送给问网站期间维护状态器，以便服务器获取相应的SessionSessionID Session器上，由唯一的标用户浏览器浏览器会将数据SessionIDSession识存储在中SessionIDCookie缓存HTTP减少网络请求减少服务器压力提升用户体验123浏览器缓存数据副本，无需重复获缓存减少服务器负载，降低带宽消快速响应用户请求，提供流畅的浏览取，提高页面加载速度耗，提高网站性能体验代理服务器代理服务器定义代理服务器类型代理服务器作用代理服务器是作为客户端和目正向代理代理客户端请求，加速网络访问，缓存常见请标服务器之间中介的服务器例如公司内部网络访问互联求，减少延迟网提高安全性，隐藏用户真实代理服务器可以隐藏客户端的反向代理代理服务器端请，防止攻击IP真实地址求，例如负载均衡或安全防IP护网关网络连接协议转换安全保障网关连接不同的网络，例如内部网络和外部网关可以将不同网络的协议转换为统一的协网关可以提供网络安全服务，例如防火墙和互联网议，例如协议入侵检测系统TCP/IP消息编码HTTP编码编码编码ASCII UTF-8Base64编码是美国标准信息交换码，用于表编码是目前最常用的编码方式，支编码是将二进制数据转换成可打印ASCII UTF-8Base64示英文字母、数字、标点符号等字符持所有语言字符，并与编码兼容字符的编码方式，常用于传输图片、音频等ASCII文件持续传输机制数据传输效率协议中的连接是短连接，每个请求都需要建立连接，然后再关闭这会导致传输效率降低，尤其是在传输大量数据时HTTP/

1.0长连接机制协议引入了长连接机制，即在客户端和服务器建立连接后，可以保持连接，直到客户端或服务器主动关闭连接HTTP/

1.1节省资源长连接机制可以减少建立连接的次数，从而节省网络资源，提高传输效率保持连接长连接机制需要在请求头中添加字段，告诉服务器保持连接Connection:keep-alive范围请求定义1范围请求允许客户端请求资源的特定部分，而不是整个资源请求头2客户端在请求头中使用字段指定要请求的字节范围“Range”响应3服务器响应包含请求的资源部分，以及字“Content-Range”段指示返回的字节范围认证机制HTTP基本认证摘要认证12发送用户名和密码进行验证，通过哈希算法对信息进行加较为简单，但安全性较低密，提高了安全性数字证书认证认证OAuth34使用数字证书验证身份，更加第三方应用通过授权的方式访安全可靠问用户的资源安全性HTTP安全威胁协议本身没有加密机制，信息传输过程容易被窃取，攻击者可能截获用户的敏感信HTTP息攻击者还可以伪造身份，发起恶意攻击，例如钓鱼网站、中间人攻击等安全措施协议使用加密技术，对通信内容进行加密，提高安全性HTTPS SSL/TLS使用安全的密码，避免使用弱密码，定期更改密码，降低密码被破解的风险版本演进HTTPHTTP/

0.91最初版本，只支持请求GETHTTP/

1.02增加了请求、缓存等功能POSTHTTP/

1.13引入了持久连接、管道化等优化HTTP/24使用二进制帧格式，提高传输效率协议不断改进，以适应不断变化的互联网需求HTTP版本演进是持续优化网络性能、安全性、功能性的过程HTTP协议介绍HTTPS协议是在协议的基础上增加了安全层它使用HTTPS HTTP SSL/TLS加密技术对传输数据进行保护，以确保数据在传输过程中不被窃取或篡改协议使用证书机制来验证服务器的身份，并建立安全连接它HTTPS在协议的基础上增加了安全层，使用加密技术保护数HTTPSSL/TLS据传输，确保数据不被窃取或篡改握手过程HTTPS客户端发起连接请求1客户端向服务器发送一个连接请求，并提供一个随机数作为初始密钥HTTPS服务器响应证书2服务器将自己的证书信息发送给客户端，包括公钥、颁发机构和有效期客户端验证证书3客户端验证证书的有效性，并使用证书中的公钥加密随机数，并将加密后的随机数发送给服务器服务器解密随机数4服务器使用私钥解密客户端发送的加密随机数，并用随机数生成一个新的对称密钥服务器加密对称密钥5服务器使用客户端的公钥加密新的对称密钥，并将加密后的密钥发送给客户端客户端解密对称密钥6客户端使用自己的私钥解密服务器发送的加密对称密钥，双方开始使用这个对称密钥进行安全通信密钥管理HTTPS密钥生成密钥存储密钥交换证书管理协议使用公钥和私钥来密钥需要安全存储，防协议采用非对称加密技证书包含公钥信息，需HTTPS HTTPS HTTPSHTTPS保证通信安全，生成密钥对是止被窃取或篡改常用的密钥术，在建立连接时需要进行密要定期更新，保证证书有效密钥管理的首要步骤存储方式包括硬件安全模块钥交换，以确保安全通信的建性HTTPS（）和密钥管理系统立HSM证书机制HTTPS证书类型证书颁发机构证书类型包括域名证书、企业证证书颁发机构（）负责验证网CA书和代码签名证书选择适合您站身份并颁发证书选择信誉良需求的证书类型可以确保网站的好的可以提高网站的安全性CA安全性和可信度证书内容证书管理证书包含网站域名、证书颁发机证书需要定期更新，避免过期失构信息、有效期等信息证书验效证书管理需要确保证书的有证网站身份，并证明网站的安全效性和安全性，保障网站的安全性和可信度运行协议HTTP/2多路复用二进制帧采用多路复用技术，允许在一个连接上同时使用二进制帧来传输数据，取代了的HTTP/2TCP HTTP/2HTTP/

1.1发送多个请求和响应，提高传输效率文本格式，提高解析效率，并支持更灵活的数据压缩首部压缩服务器推送对重复的首部字段进行压缩，减少网络传输的字节服务器可以主动推送资源到客户端，即使客户端没有请求，HTTP/2数，加快页面加载速度提升网页性能，减少延迟与对比HTTP/2HTTP/

1.1协议WebSocket全双工通信实时性强高效性高协议使用单一的连接，协议可以实现实时通信，例如协议相比协议，可以减WebSocket TCPWebSocket WebSocketHTTP支持全双工通信，客户端和服务器可以在任实时聊天、实时游戏、实时数据更新等少通信开销，提高效率，尤其适用于需要频何时间点发送或接收数据繁通信的应用场景架构风格RESTful资源方法无状态性缓存HTTP将所有网络资使用标准的要求所有请求鼓励使用缓存RESTful APIRESTful APIRESTful APIRESTful API源视为资源，每个资源对应唯方法来操作资源，例都是独立的，服务器不会保存机制，提高的性能和响HTTP API一的如、、、任何与客户端有关的状态信应速度URI GETPOST PUT息DELETE例如，用户资源可以用服务器可以返回缓存控制头信表示，而用户帖子资用于获取资源，每个请求都包含所有必要的信息，指示客户端是否可以缓存/users GETPOST源可以用用于创建资源，用于更息，服务器根据请求信息进行响应PUT表新资源，用于删除处理，不依赖于之前的请求/users/{userId}/posts DELETE示资源总结回顾网络协议体系应用基础数据传输安全机制Web位于应用层，负责客户了解协议对于理解掌握请求和响应的格协议提供了安全通信，HTTPHTTPHTTP HTTPS端与服务器之间的通信开发至关重要，有助于构式，能够更有效地处理网络数保护敏感数据安全Web建更高效安全的应用据Web。