HTTP&&HTTPS整理

 最近看了《图解HTTP》这本书，对一些基础知识有了更新的了解，在这里分享出来，如果有什么纰漏，请指出。

HTTP请求

HTTP请求报文分为请求行,首部(通用，实体，请求),内容实体

GET / HTTP/1.1
Host: hackr.jp
Connection: keep-alive
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: Keep-Alive
Date: Sat, 18 Aug 2018 03:51:58 GMT

HTTP响应报文报文分为响应行,首部(通用，实体，请求)，响应体

HTTP/1.1 200 OK
Date: Sat, 18 Aug 2018 03:51:58 GMT
Server: Apache
Last-Modified: Tue, 08 Jan 2013 08:53:29 GMT
ETag: "25e-4d2c3145df440-gzip"
Accept-Ranges: bytes
Vary: Accept-Encoding,User-Agent
Content-Encoding: gzip
Content-Length: 379
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html

请求报文和响应报文中的通用和实体首部都是公用的，其他的又一些区别。

1. 公共部分

通用首部：
- Date:创建报文时间
- Cache_control:缓存指令
- Connection:管理持久连接

实体首部：
- Content-Encoding:服务器对实体的主体选用的编码方式
- Content-Language:自然语言
- Content-Length:主体大小
- Content-Type:主体内对象的媒体类型
- Last-Modified:最终修改时间

2. 差异部分

• 请求报文
  • 请求行:
    • 请求方法GET
    • 请求资源
    • 协议版本HTTP/1.1

GET / HTTP/1.1

• 请求首部:

  • Host:请求资源所在服务器
  • User-Agent:客户端信息
  • Accept:用户可处理的媒体类型
  • Accept-Encoding:客户端接收优先内容编码
  • Accept-Language:客户端接收优先语言
    以下是补充：
  • Referer:请求的原始资源URI(网页中一般会用到，可以知道当前请求是从哪个页面发起的)
  • If-Modified-Since:告知服务器资源如果在某个时间更新了就处理请求，反之返回304Not Modified

Host: hackr.jp
Connection: keep-alive
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: Keep-Alive

• 请求体：客户端发送给服务器的具体数据

• 响应报文
  • 响应行：
    • 协议版本：HTTP/1.1
    • 状态码：200(2xx成功，3xx重定向，4xx客户端错误，5xx服务器错误)
    • 原因短语：OK

HTTP/1.1 200 OK

• 响应首部：

  • Server:服务器应用程序的信息
  • ETag:实体标识(资源的唯一标识)
  • Accept-Ranges:范围请求(可处理的为bytes，反之为none)
  • Vary:源服务器向代理服务器传达缓存使用方法(对缓存进行控制)

Date: Sat, 18 Aug 2018 03:51:58 GMT
Server: Apache
Last-Modified: Tue, 08 Jan 2013 08:53:29 GMT
ETag: "25e-4d2c3145df440-gzip"
Accept-Ranges: bytes
Vary: Accept-Encoding,User-Agent
Content-Encoding: gzip
Content-Length: 379
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html

• 响应体：服务器返回给客户端的数据实体

接下来介绍下HTTPS

先思考几个问题？
1.为什么会出现HTTPS？
2.HTTPS的本质是什么？
3.HTTPS的通信过程
 好的，那我们来一个一个慢慢的来解决疑惑吧。

1.为什么会出现HTTPS？

 HTTPS的出现主要是为了弥补HTTP的一些不足

• 通信明文传输，内容有被窃听的风险
• 通信方的身份没有进行验证，我们可能会遇到"骗子"
• 报文的完整性无法得到证明，那我们怎么知道这是不是已经被别人篡改过了
  那么解决方案是什么了？

通信加密防止被窃听

• 通信加密：HTTP+SSL(TLS)的组合使用，可以加密HTTP的通信内容
• 内容加密：通过对称加密和非对称加密两种方式实现
  • 对称加密：就是加密和解密用的是同一个密钥(key)
  • 非对称加密：加密和解密使用的是一堆密钥，加密的称为公钥(public key)，解密的称为私钥(screct key)

通信方的身份没有进行验证，我们可能会遇到"骗子"

• 想一想我们如何确定一个陌生人的身份？
   身份证是一个很好证明每个人的身份的证件，那么在网络里面什么承担了这个角色了？你猜对了，那就是CA证书，通过证书我们可以证明通信方就是意料之中的服务器，不是"隔壁老王"

报文的完整性无法得到证明，那我们怎么知道这是不是已经被别人篡改过了

应用层在发送数据是附加MAC的报文摘要，可以查值报文是否被篡改，保护报文的完整性

2.HTTPS的本质是什么？

 HTTPS就是HTTP+加密处理+认证+完整性保护或者可以理解为披着SSL外皮的HTTP(这个和披着羊皮的狼是两码事情喔)

3.HTTPS的通信过程？

 对称加密加密速度快，但是很难保证密钥的安全性
 非对称加密只要key的位数够长，以目前的条件来讲破解掉是一件比较困难的事情，但是存在一个问题：非对称加密的速度比较低，
所以HTTPS是采用了对称加密和非对称加密混合机制
非对称加密还有一个问题，那就是证明公钥的正确性，CA机构正好解决了这个问题
企业申请CA证书的一个大致流程

• 服务器的相关人员向CA机构提出公开密钥的申请
• CA验明申请者身份的正确性后，对申请的公钥进行数字签名(sign)
• 分配公钥，绑定在证书里一起发给客户

HTTPS.jpg

step1: Client发送Client Hello 报文开始SSL通信
step2: Server端ok的话就Server Hello 报文作为应道
step3: Server发送证书报文，包含公钥(public key)
step4: Server发送Server Hello Done 告知Client最初握手完成了喔
step5: Client 以Clinet Key Exchange 报文回应，客户端会生成一个Pre-master secret的密钥，然后通过服务器的公钥(public key)加密这个pre-master-sercet
step6: Client发送 Change Cipher Spec报文提示服务器以后我们会采用pre-master-sercet这个东东来进行加密喔
step7: Client发送Finished 报文
step8: Server同样发送Change Cipher Spec报文
step9: Server发送Finished报文
step10:报文交换完毕以后，SSL连接就算建立成功，以后就可以发送HTTP请求了
step11: HTTP响应
step12: 最后由客户端断开连接(发送close_notify报文)