一、概念

協(xié)議是指計算機通信網絡中兩臺計算機之間進行通信所必須共同遵守的規(guī)定或規(guī)則，超文本傳輸協(xié)議(HTTP)是一種通信協(xié)議，它允許將超文本標記語言(HTML)文檔從Web服務器傳送到客戶端的瀏覽器。

HTTP協(xié)議，即超文本傳輸協(xié)議(Hypertext transfer protocol)。是一種詳細規(guī)定了瀏覽器和萬維網(WWW = World Wide Web)服務器之間互相通信的規(guī)則，通過因特網傳送萬維網文檔的數據傳送協(xié)議。

HTTP協(xié)議是用于從WWW服務器傳輸超文本到本地瀏覽器的傳送協(xié)議。它可以使瀏覽器更加高效，使網絡傳輸減少。它不僅保證計算機正確快速地傳輸超文本文檔，還確定傳輸文檔中的哪一部分，以及哪部分內容首先顯示(如文本先于圖形)等。

HTTP是一個應用層協(xié)議，由請求和響應構成，是一個標準的客戶端服務器模型。HTTP是一個無狀態(tài)的協(xié)議。

在Internet中所有的傳輸都是通過TCP/IP進行的。HTTP協(xié)議作為TCP/IP模型中應用層的協(xié)議也不例外。HTTP協(xié)議通常承載于TCP協(xié)議之上，有時也承載于TLS或SSL協(xié)議層之上，這個時候，就成了我們常說的HTTPS。如下圖所示：

HTTP默認的端口號為80，HTTPS的端口號為443。

瀏覽網頁是HTTP的主要應用，但是這并不代表HTTP就只能應用于網頁的瀏覽。HTTP是一種協(xié)議，只要通信的雙方都遵守這個協(xié)議，HTTP就能有用武之地。比如咱們常用的QQ，迅雷這些軟件，都會使用HTTP協(xié)議(還包括其他的協(xié)議)。

二、簡史

它的發(fā)展是萬維網協(xié)會（World Wide Web Consortium）和Internet工作小組IETF（Internet Engineering Task Force）合作的結果，（他們）最終發(fā)布了一系列的RFC，RFC 1945定義了HTTP/1.0版本。其中最著名的就是RFC 2616。RFC 2616定義了今天普遍使用的一個版本——HTTP 1.1。

三、特點

HTTP協(xié)議永遠都是客戶端發(fā)起請求，服務器回送響應。這樣就限制了使用HTTP協(xié)議，無法實現(xiàn)在客戶端沒有發(fā)起請求的時候，服務器將消息推送給客戶端。

HTTP協(xié)議的主要特點可概括如下：

1、支持客戶/服務器模式。支持基本認證和安全認證。

2、簡單快速：客戶向服務器請求服務時，只需傳送請求方法和路徑。請求方法常用的有GET、HEAD、POST。每種方法規(guī)定了客戶與服務器聯(lián)系的類型不同。由于HTTP協(xié)議簡單，使得HTTP服務器的程序規(guī)模小，因而通信速度很快。

3、靈活：HTTP允許傳輸任意類型的數據對象。正在傳輸的類型由Content-Type加以標記。

4、HTTP 0.9和1.0使用非持續(xù)連接：限制每次連接只處理一個請求，服務器處理完客戶的請求，并收到客戶的應答后，即斷開連接。HTTP 1.1使用持續(xù)連接：不必為每個web對象創(chuàng)建一個新的連接，一個連接可以傳送多個對象，采用這種方式可以節(jié)省傳輸時間。

5、無狀態(tài)：HTTP協(xié)議是無狀態(tài)協(xié)議。無狀態(tài)是指協(xié)議對于事務處理沒有記憶能力。缺少狀態(tài)意味著如果后續(xù)處理需要前面的信息，則它必須重傳，這樣可能導致每次連接傳送的數據量增大。

無狀態(tài)協(xié)議：

協(xié)議的狀態(tài)是指下一次傳輸可以“記住”這次傳輸信息的能力。

http是不會為了下一次連接而維護這次連接所傳輸的信息,為了保證服務器內存。

比如客戶獲得一張網頁之后關閉瀏覽器，然后再一次啟動瀏覽器，再登陸該網站，但是服務器并不知道客戶關閉了一次瀏覽器。

由于Web服務器要面對很多瀏覽器的并發(fā)訪問，為了提高Web服務器對并發(fā)訪問的處理能力，在設計HTTP協(xié)議時規(guī)定Web服務器發(fā)送HTTP應答報文和文檔時，不保存發(fā)出請求的Web瀏覽器進程的任何狀態(tài)信息。這有可能出現(xiàn)一個瀏覽器在短短幾秒之內兩次訪問同一對象時，服務器進程不會因為已經給它發(fā)過應答報文而不接受第二期服務請求。由于Web服務器不保存發(fā)送請求的Web瀏覽器進程的任何信息，因此HTTP協(xié)議屬于無狀態(tài)協(xié)議（Stateless Protocol）。

HTTP協(xié)議是無狀態(tài)的和Connection: keep-alive的區(qū)別：

無狀態(tài)是指協(xié)議對于事務處理沒有記憶能力，服務器不知道客戶端是什么狀態(tài)。從另一方面講，打開一個服務器上的網頁和你之前打開這個服務器上的網頁之間沒有任何聯(lián)系。

HTTP是一個無狀態(tài)的面向連接的協(xié)議，無狀態(tài)不代表HTTP不能保持TCP連接，更不能代表HTTP使用的是UDP協(xié)議（無連接）。

從HTTP/1.1起，默認都開啟了Keep-Alive，保持連接特性，簡單地說，當一個網頁打開完成后，客戶端和服務器之間用于傳輸HTTP數據的TCP連接不會關閉，如果客戶端再次訪問這個服務器上的網頁，會繼續(xù)使用這一條已經建立的連接。

Keep-Alive不會永久保持連接，它有一個保持時間，可以在不同的服務器軟件（如Apache）中設定這個時間。

四、工作流程

一次HTTP操作稱為一個事務，其工作過程可分為四步：

1）首先客戶機與服務器需要建立連接。只要單擊某個超級鏈接，HTTP的工作開始。

2）建立連接后，客戶機發(fā)送一個請求給服務器，請求方式的格式為：統(tǒng)一資源標識符（URL）、協(xié)議版本號，后邊是MIME信息包括請求修飾符、客戶機信息和可能的內容。

3）服務器接到請求后，給予相應的響應信息，其格式為一個狀態(tài)行，包括信息的協(xié)議版本號、一個成功或錯誤的代碼，后邊是MIME信息包括服務器信息、實體信息和可能的內容。

4）客戶端接收服務器所返回的信息通過瀏覽器顯示在用戶的顯示屏上，然后客戶機與服務器斷開連接。
如果在以上過程中的某一步出現(xiàn)錯誤，那么產生錯誤的信息將返回到客戶端，有顯示屏輸出。對于用戶來說，這些過程是由HTTP自己完成的，用戶只要用鼠標點擊，等待信息顯示就可以了。

 HTTP是基于傳輸層的TCP協(xié)議，而TCP是一個端到端的面向連接的協(xié)議。所謂的端到端可以理解為進程到進程之間的通信。所以HTTP在開始傳輸之前，首先需要建立TCP連接，而TCP連接的過程需要所謂的“三次握手”。下圖所示TCP連接的三次握手。

在TCP三次握手之后，建立了TCP連接，此時HTTP就可以進行傳輸了。一個重要的概念是面向連接，既HTTP在傳輸完成之間并不斷開TCP連接。在HTTP1.1中(通過Connection頭設置)這是默認行為。

五、使用Wireshark抓TCP、http包

打開Wireshark，選擇工具欄上的"Capture"->"Options"

點擊"Capture Filter"，此處選擇的是"HTTP TCP port（80）"，選擇后點擊上圖的"Start"開始抓包。

然后在瀏覽器中打開http://image.baidu.com/，抓包結果如下圖所示：

在上圖中，可清晰的看到客戶端瀏覽器（ip為192.168.1.6）與服務器（115.239.210.36）的交互過程：

1）No1：瀏覽器（192.168.1.6）向服務器（115.239.210.36）發(fā)出連接請求。此為TCP三次握手第一步，此時從圖中可以看出，為SYN，seq:X （x=0）；

2）No2：服務器（115.239.210.36）回應了瀏覽器（192.168.1.6）的請求，并要求確認，此時為：SYN，ACK，此時seq：y（y為0），ACK：x+1（為1）。此為三次握手的第二步；

3）No3：瀏覽器（192.168.1.6）回應了服務器（115.239.210.36）的確認，連接成功。為：ACK，此時seq：x+1（為1），ACK：y+1（為1）。此為三次握手的第三步；

4）No4：瀏覽器（192.168.1.6）發(fā)出一個頁面HTTP請求；

5）No5：服務器（115.239.210.36）確認；

6）No6：服務器（115.239.210.36）發(fā)送數據；

7）No8：客戶端瀏覽器（192.168.1.6）確認；

8）No81：客戶端（192.168.1.6）發(fā)出一個圖片HTTP請求；

9）No202：服務器（115.239.210.36）發(fā)送狀態(tài)響應碼200 OK。

 六、頭域

每個頭域由一個域名，冒號（:）和域值三部分組成。域名是大小寫無關的，域值前可以添加任何數量的空格符，頭域可以被擴展為多行，在每行開始處，使用至少一個空格或制表符。

6.1、請求信息：

發(fā)出的請求信息格式如下：

• 請求行，例如GET /images/logo.gif HTTP/1.1，表示從/images目錄下請求logo.gif這個文件。
• 請求）頭，例如Accept-Language: en
• 空行
• 可選的消息體　請求行和標題必須以CR>LF>作為結尾（也就是，回車然后換行）?？招袃缺仨氈挥蠧R>LF>而無其他空格。在HTTP/1.1協(xié)議中，所有的請求頭，除post外，都是可選的。

三個部分分別是：請求行、消息報頭、請求正文。

請求方法

HTTP/1.1協(xié)議中共定義了八種方法（有時也叫“動作”）來表明Request-URI指定的資源的不同操作方式：

OPTIONS - 返回服務器針對特定資源所支持的HTTP請求方法。也可以利用向Web服務器發(fā)送'*'的請求來測試服務器的功能性。

HEAD- 向服務器索要與GET請求相一致的響應，只不過響應體將不會被返回。這一方法可以在不必傳輸整個響應內容的情況下，就可以獲取包含在響應消息頭中的元信息。該方法常用于測試超鏈接的有效性，是否可以訪問，以及最近是否更新。

GET - 向特定的資源發(fā)出請求。注意：GET方法不應當被用于產生“副作用”的操作中，例如在web app.中。其中一個原因是GET可能會被網絡蜘蛛等隨意訪問。

POST - 向指定資源提交數據進行處理請求（例如提交表單或者上傳文件）。數據被包含在請求體中。POST請求可能會導致新的資源的建立和/或已有資源的修改。

PUT - 向指定資源位置上傳其最新內容。

DELETE - 請求服務器刪除Request-URI所標識的資源。

TRACE- 回顯服務器收到的請求，主要用于測試或診斷。

CONNECT - HTTP/1.1協(xié)議中預留給能夠將連接改為管道方式的代理服務器。

PATCH - 用來將局部修改應用于某一資源，添加于規(guī)范RFC5789。

方法名稱是區(qū)分大小寫的。當某個請求所針對的資源不支持對應的請求方法的時候，服務器應當返回狀態(tài)碼405（Method Not Allowed）；當服務器不認識或者不支持對應的請求方法的時候，應當返回狀態(tài)碼501（Not Implemented）。

HTTP服務器至少應該實現(xiàn)GET和HEAD方法，其他方法都是可選的。此外，除了上述方法，特定的HTTP服務器還能夠擴展自定義的方法。

GET和POST的區(qū)別：

1、GET提交的數據會放在URL之后，以?分割URL和傳輸數據，參數之間以相連，如EditPosts.aspx?name=test1id=123456. POST方法是把提交的數據放在HTTP包的Body中。

2、GET提交的數據大小有限制，最多只能有1024字節(jié)（因為瀏覽器對URL的長度有限制），而POST方法提交的數據沒有限制。

3、GET方式需要使用Request.QueryString來取得變量的值，而POST方式通過Request.Form來獲取變量的值。

4、GET方式提交數據，會帶來安全問題，比如一個登錄頁面，通過GET方式提交數據時，用戶名和密碼將出現(xiàn)在URL上，如果頁面可以被緩存或者其他人可以訪問這臺機器，就可以從歷史記錄獲得該用戶的賬號和密碼。

響應消息

客戶端向服務器發(fā)送一個請求，服務器以一個狀態(tài)行作為響應，響應的內容包括：消息協(xié)議的版本、成功或者錯誤編碼、服務器信息、實體元信息以及必要的實體內容。根據響應類別的類別，服務器響應里可以含實體內容，但不是所有的響應都有實體內容。

響應頭第一行也稱為狀態(tài)行，格式如下（下圖中紅線標出的那行）：

HTTP-Version 空格 Status-Code 空格 Reason-Phrase CRLF

HTTP- Version表示HTTP版本，例如為HTTP/1.1。Status- Code是結果代碼，用三個數字表示。Reason-Phrase是個簡單的文本描述，解釋Status-Code的具體原因。Status-Code用于機器自動識別，Reason-Phrase用于人工理解。Status-Code的第一個數字代表響應類別，可能取5個不同的值。后兩個數字沒有分類作用。Status-Code的第一個數字代表響應的類別，后續(xù)兩位描述在該類響應下發(fā)生的具體狀況，具體請參見：HTTP狀態(tài)碼 。

響應消息的結構：

三個部分分別是：狀態(tài)行、消息報頭、響應正文。

無論你何時瀏覽一個網頁，你的電腦都會通過一個使用HTTP協(xié)議的服務器來獲取所請求的數據。在你請求的網頁顯示在瀏覽器之前，支配網頁的網站服務器會返回一個包含有狀態(tài)碼的HTTP頭文件。這個狀態(tài)碼提供了有關所請求網頁的相關條件信息。如果一切正常，一個標準網頁會收到一條諸如200的狀態(tài)碼。當然我們的目的不是去研究200響應碼，而是去探討那些代表出現(xiàn)錯誤信息的服務器頭文件響應碼，例如表示“未找到指定網頁”的404碼。

響應頭域

服務器需要傳遞許多附加信息，這些信息不能全放在狀態(tài)行里。因此，需要另行定義響應頭域，用來描述這些附加信息。響應頭域主要描述服務器的信息和Request-URI的信息。

 HTTP常見的請求頭（在HTTP/1.1 協(xié)議中，所有的請求頭，除Host外，都是可選的）

If-Modified-Since：把瀏覽器端緩存頁面的最后修改時間發(fā)送到服務器去，服務器會把這個時間與服務器上實際文件的最后修改時間進行對比。如果時間一致，那么返回304，客戶端就直接使用本地緩存文件。如果時間不一致，就會返回200和新的文件內容。客戶端接到之后，會丟棄舊文件，把新文件緩存起來，并顯示在瀏覽器中。

例如：If-Modified-Since: Thu, 09 Feb 2012 09:07:57 GMT

If-None-Match：If-None-Match和ETag一起工作，工作原理是在HTTP Response中添加ETag信息。 當用戶再次請求該資源時，將在HTTP Request 中加入If-None-Match信息(ETag的值)。如果服務器驗證資源的ETag沒有改變（該資源沒有更新），將返回一個304狀態(tài)告訴客戶端使用本地緩存文件。否則將返回200狀態(tài)和新的資源和Etag.  使用這樣的機制將提高網站的性能。

例如: If-None-Match: "03f2b33c0bfcc1:0"。

Pragma：指定“no-cache”值表示服務器必須返回一個刷新后的文檔，即使它是代理服務器而且已經有了頁面的本地拷貝；在HTTP/1.1版本中，它和Cache-Control:no-cache作用一模一樣。Pargma只有一個用法， 例如： Pragma: no-cache
注意: 在HTTP/1.0版本中，只實現(xiàn)了Pragema:no-cache, 沒有實現(xiàn)Cache-Control

Cache-Control：指定請求和響應遵循的緩存機制。緩存指令是單向的（響應中出現(xiàn)的緩存指令在請求中未必會出現(xiàn)），且是獨立的（在請求消息或響應消息中設置Cache-Control并不會修改另一個消息處理過程中的緩存處理過程）。請求時的緩存指令包括no-cache、no-store、max-age、max-stale、min-fresh、only-if-cached，響應消息中的指令包括public、private、no-cache、no-store、no-transform、must-revalidate、proxy-revalidate、max-age、s-maxage。

1. Cache-Control:Public 可以被任何緩存所緩存
2. Cache-Control:Private 內容只緩存到私有緩存中
3. Cache-Control:no-cache 所有內容都不會被緩存
4. Cache-Control:no-store 用于防止重要的信息被無意的發(fā)布。在請求消息中發(fā)送將使得請求和響應消息都不使用緩存。
5. Cache-Control:max-age 指示客戶機可以接收生存期不大于指定時間（以秒為單位）的響應。
6. Cache-Control:min-fresh 指示客戶機可以接收響應時間小于當前時間加上指定時間的響應。
7. Cache-Control:max-stale 指示客戶機可以接收超出超時期間的響應消息。如果指定max-stale消息的值，那么客戶機可以接收超出超時期指定值之內的響應消息。

Accept：瀏覽器端可以接受的MIME類型。例如：Accept: text/html 代表瀏覽器可以接受服務器回發(fā)的類型為 text/html 也就是我們常說的html文檔，如果服務器無法返回text/html類型的數據，服務器應該返回一個406錯誤(non acceptable)。通配符 * 代表任意類型，例如 Accept: */* 代表瀏覽器可以處理所有類型，(一般瀏覽器發(fā)給服務器都是發(fā)這個)。

Accept-Encoding：瀏覽器申明自己可接收的編碼方法，通常指定壓縮方法，是否支持壓縮，支持什么壓縮方法（gzip，deflate）;Servlet能夠向支持gzip的瀏覽器返回經gzip編碼的HTML頁面。許多情形下這可以減少5到10倍的下載時間。例如： Accept-Encoding: gzip, deflate。如果請求消息中沒有設置這個域，服務器假定客戶端對各種內容編碼都可以接受。

Accept-Language：瀏覽器申明自己接收的語言。語言跟字符集的區(qū)別：中文是語言，中文有多種字符集，比如big5，gb2312，gbk等等；例如：Accept-Language: en-us。如果請求消息中沒有設置這個報頭域，服務器假定客戶端對各種語言都可以接受。

Accept-Charset：瀏覽器可接受的字符集。如果在請求消息中沒有設置這個域，缺省表示任何字符集都可以接受。

User-Agent：告訴HTTP服務器，客戶端使用的操作系統(tǒng)和瀏覽器的名稱和版本。

例如： User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; CIBA; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; InfoPath.2; .NET4.0E)。

Content-Type：例如：Content-Type: application/x-www-form-urlencoded。

Referer：包含一個URL，用戶從該URL代表的頁面出發(fā)訪問當前請求的頁面。提供了Request的上下文信息的服務器，告訴服務器我是從哪個鏈接過來的，比如從我主頁上鏈接到一個朋友那里，他的服務器就能夠從HTTP Referer中統(tǒng)計出每天有多少用戶點擊我主頁上的鏈接訪問他的網站。

例如: Referer:http://translate.google.cn/?hl=zh-cntab=wT

Connection：

例如：Connection: keep-alive 當一個網頁打開完成后，客戶端和服務器之間用于傳輸HTTP數據的TCP連接不會關閉，如果客戶端再次訪問這個服務器上的網頁，會繼續(xù)使用這一條已經建立的連接。HTTP 1.1默認進行持久連接。利用持久連接的優(yōu)點，當頁面包含多個元素時（例如Applet，圖片），顯著地減少下載所需要的時間。要實現(xiàn)這一點，Servlet需要在應答中發(fā)送一個Content-Length頭，最簡單的實現(xiàn)方法是：先把內容寫入ByteArrayOutputStream，然后在正式寫出內容之前計算它的大小。

Connection: close 代表一個Request完成后，客戶端和服務器之間用于傳輸HTTP數據的TCP連接會關閉，當客戶端再次發(fā)送Request，需要重新建立TCP連接。

Host ：（發(fā)送請求時，該頭域是必需的）主要用于指定被請求資源的Internet主機和端口號，它通常從HTTP URL中提取出來的。HTTP/1.1請求必須包含主機頭域，否則系統(tǒng)會以400狀態(tài)碼返回。

例如: 我們在瀏覽器中輸入：http://www.guet.edu.cn/index.html，瀏覽器發(fā)送的請求消息中，就會包含Host請求頭域：Host：http://www.guet.edu.cn，此處使用缺省端口號80，若指定了端口號，則變成：Host：指定端口號。

Cookie：最重要的請求頭之一, 將cookie的值發(fā)送給HTTP服務器。

Content-Length：表示請求消息正文的長度。例如：Content-Length: 38。

Authorization：授權信息，通常出現(xiàn)在對服務器發(fā)送的WWW-Authenticate頭的應答中。主要用于證明客戶端有權查看某個資源。當瀏覽器訪問一個頁面時，如果收到服務器的響應代碼為401（未授權），可以發(fā)送一個包含Authorization請求報頭域的請求，要求服務器對其進行驗證。

UA-Pixels，UA-Color，UA-OS，UA-CPU：由某些版本的IE瀏覽器所發(fā)送的非標準的請求頭，表示屏幕大小、顏色深度、操作系統(tǒng)和CPU類型。

From：請求發(fā)送者的email地址，由一些特殊的Web客戶程序使用，瀏覽器不會用到它。

Range：可以請求實體的一個或者多個子范圍。例如，

表示頭500個字節(jié)：bytes=0-499

表示第二個500字節(jié)：bytes=500-999

表示最后500個字節(jié)：bytes=-500

表示500字節(jié)以后的范圍：bytes=500-

第一個和最后一個字節(jié)：bytes=0-0,-1

同時指定幾個范圍：bytes=500-600,601-999

但是服務器可以忽略此請求頭，如果無條件GET包含Range請求頭，響應會以狀態(tài)碼206（PartialContent）返回而不是以200（OK）。

HTTP常見的響應頭

Allow：服務器支持哪些請求方法（如GET、POST等）。

Date：表示消息發(fā)送的時間，時間的描述格式由rfc822定義。例如，Date:Mon,31Dec200104:25:57GMT。Date描述的時間表示世界標準時，換算成本地時間，需要知道用戶所在的時區(qū)。你可以用setDateHeader來設置這個頭以避免轉換時間格式的麻煩

Expires：指明應該在什么時候認為文檔已經過期，從而不再緩存它，重新從服務器獲取，會更新緩存。過期之前使用本地緩存。HTTP1.1的客戶端和緩存會將非法的日期格式（包括0）看作已經過期。eg：為了讓瀏覽器不要緩存頁面，我們也可以將Expires實體報頭域，設置為0。
例如: Expires: Tue, 08 Feb 2022 11:35:14 GMT

P3P：用于跨域設置Cookie, 這樣可以解決iframe跨域訪問cookie的問題
例如: P3P: CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR

Set-Cookie：非常重要的header, 用于把cookie發(fā)送到客戶端瀏覽器，每一個寫入cookie都會生成一個Set-Cookie。
例如: Set-Cookie: sc=4c31523a; path=/; domain=.acookie.taobao.com

ETag：和If-None-Match 配合使用。

Last-Modified：用于指示資源的最后修改日期和時間。Last-Modified也可用setDateHeader方法來設置。

Content-Type：WEB服務器告訴瀏覽器自己響應的對象的類型和字符集。Servlet默認為text/plain，但通常需要顯式地指定為text/html。由于經常要設置Content-Type，因此HttpServletResponse提供了一個專用的方法setContentType?？稍趙eb.xml文件中配置擴展名和MIME類型的對應關系。

例如:Content-Type: text/html;charset=utf-8
　　 Content-Type:text/html;charset=GB2312
　　 Content-Type: image/jpeg

媒體類型的格式為：大類/小類，比如text/html。

IANA(The Internet Assigned Numbers Authority，互聯(lián)網數字分配機構)定義了8個大類的媒體類型，分別是:

1. application— (比如: application/vnd.ms-excel.)
2. audio (比如: audio/mpeg.)
3. image (比如: image.jpg.)
4. message (比如,:message/http.)
5. model(比如:model/vrml.)
6. multipart (比如:multipart/form-data.)
7. text(比如:text/html.)
8. video(比如:video/quicktime.)

Content-Range：用于指定整個實體中的一部分的插入位置，他也指示了整個實體的長度。在服務器向客戶返回一個部分響應，它必須描述響應覆蓋的范圍和整個實體長度。一般格式：Content-Range:bytes-unitSPfirst-byte-pos-last-byte-pos/entity-length。

例如，傳送頭500個字節(jié)次字段的形式：Content-Range:bytes0-499/1234如果一個http消息包含此節(jié)（例如，對范圍請求的響 應或對一系列范圍的重疊請求），Content-Range表示傳送的范圍。

Content-Length：指明實體正文的長度，以字節(jié)方式存儲的十進制數字來表示。在數據下行的過程中，Content-Length的方式要預先在服務器中緩存所有數據，然后所有數據再一股腦兒地發(fā)給客戶端。只有當瀏覽器使用持久HTTP連接時才需要這個數據。如果你想要利用持久連接的優(yōu)勢，可以把輸出文檔寫入ByteArrayOutputStram，完成后查看其大小，然后把該值放入Content-Length頭，最后通過byteArrayStream.writeTo(response.getOutputStream()發(fā)送內容。

例如: Content-Length: 19847

Content-Encoding：WEB服務器表明自己使用了什么壓縮方法（gzip，deflate）壓縮響應中的對象。只有在解碼之后才可以得到Content-Type頭指定的內容類型。利用gzip壓縮文檔能夠顯著地減少HTML文檔的下載時間。Java的GZIPOutputStream可以很方便地進行gzip壓縮，但只有Unix上的Netscape和Windows上的IE 4、IE 5才支持它。因此，Servlet應該通過查看Accept-Encoding頭（即request.getHeader("Accept-Encoding")）檢查瀏覽器是否支持gzip，為支持gzip的瀏覽器返回經gzip壓縮的HTML頁面，為其他瀏覽器返回普通頁面。

例如：Content-Encoding：gzip

Content-Language：WEB服務器告訴瀏覽器自己響應的對象所用的自然語言。例如： Content-Language:da。沒有設置該域則認為實體內容將提供給所有的語言閱讀。

Server：指明HTTP服務器用來處理請求的軟件信息。例如：Server: Microsoft-IIS/7.5、Server：Apache-Coyote/1.1。此域能包含多個產品標識和注釋，產品標識一般按照重要性排序。

X-AspNet-Version：如果網站是用ASP.NET開發(fā)的，這個header用來表示ASP.NET的版本。

例如: X-AspNet-Version: 4.0.30319

X-Powered-By：表示網站是用什么技術開發(fā)的。

例如： X-Powered-By: ASP.NET

Connection：

例如：Connection: keep-alive 當一個網頁打開完成后，客戶端和服務器之間用于傳輸HTTP數據的TCP連接不會關閉，如果客戶端再次訪問這個服務器上的網頁，會繼續(xù)使用這一條已經建立的連接。

Connection: close 代表一個Request完成后，客戶端和服務器之間用于傳輸HTTP數據的TCP連接會關閉，當客戶端再次發(fā)送Request，需要重新建立TCP連接。

Location：用于重定向一個新的位置，包含新的URL地址。表示客戶應當到哪里去提取文檔。Location通常不是直接設置的，而是通過HttpServletResponse的sendRedirect方法，該方法同時設置狀態(tài)代碼為302。Location響應報頭域常用在更換域名的時候。

Refresh：表示瀏覽器應該在多少時間之后刷新文檔，以秒計。除了刷新當前文檔之外，你還可以通過setHeader("Refresh", "5; URL=http://host/path")讓瀏覽器讀取指定的頁面。注意這種功能通常是通過設置HTML頁面HEAD區(qū)的META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://host/path">實現(xiàn)，這是因為，自動刷新或重定向對于那些不能使用CGI或Servlet的HTML編寫者十分重要。但是，對于Servlet來說，直接設置Refresh頭更加方便。注意Refresh的意義是“N秒之后刷新本頁面或訪問指定頁面”，而不是“每隔N秒刷新本頁面或訪問指定頁面”。因此，連續(xù)刷新要求每次都發(fā)送一個Refresh頭，而發(fā)送204狀態(tài)代碼則可以阻止瀏覽器繼續(xù)刷新，不管是使用Refresh頭還是META HTTP-EQUIV="Refresh" ...>。注意Refresh頭不屬于HTTP 1.1正式規(guī)范的一部分，而是一個擴展，但Netscape和IE都支持它。

WWW-Authenticate：該響應報頭域必須被包含在401（未授權的）響應消息中，客戶端收到401響應消息時候，并發(fā)送Authorization報頭域請求服務器對其進行驗證時，服務端響應報頭就包含該報頭域。
eg：WWW-Authenticate:Basic realm="Basic Auth Test!" //可以看出服務器對請求資源采用的是基本驗證機制。

 七、解決HTTP無狀態(tài)的問題

通過Cookies保存狀態(tài)信息

通過Cookies，服務器就可以清楚的知道請求2和請求1來自同一個客戶端。

通過Session保存狀態(tài)信息

Session機制是一種服務器端的機制，服務器使用一種類似于散列表的結構（也可能就是使用散列表）來保存信息。
當程序需要為某個客戶端的請求創(chuàng)建一個session的時候，服務器首先檢查這個客戶端的請求里是否已包含了一個session標識 - 稱為 session id，如果已包含一個session id則說明以前已經為此客戶端創(chuàng)建過session，服務器就按照session id把這個 session檢索出來使用（如果檢索不到，可能會新建一個），如果客戶端請求不包含session id，則為此客戶端創(chuàng)建一個session并且生成一個與此session相關聯(lián)的session id，session id的值應該是一個既不會重復，又不容易被找到規(guī)律以仿造的字符串，這個session id將被在本次響應中返回給客戶端保存。

Session的實現(xiàn)方式：

1、使用Cookie來實現(xiàn)

服務器給每個Session分配一個唯一的JSESSIONID，并通過Cookie發(fā)送給客戶端。

當客戶端發(fā)起新的請求的時候，將在Cookie頭中攜帶這個JSESSIONID。這樣服務器能夠找到這個客戶端對應的Session。

2、使用URL回寫來實現(xiàn)

URL回寫是指服務器在發(fā)送給瀏覽器頁面的所有鏈接中都攜帶JSESSIONID的參數，這樣客戶端點擊任何一個鏈接都會把JSESSIONID帶會服務器。如果直接在瀏覽器輸入服務端資源的url來請求該資源，那么Session是匹配不到的。

Tomcat對Session的實現(xiàn)，是一開始同時使用Cookie和URL回寫機制，如果發(fā)現(xiàn)客戶端支持Cookie，就繼續(xù)使用Cookie，停止使用URL回寫。如果發(fā)現(xiàn)Cookie被禁用，就一直使用URL回寫。jsp開發(fā)處理到Session的時候，對頁面中的鏈接記得使用response.encodeURL() 。

Cookie和Session有以下明顯的不同點：

1）Cookie將狀態(tài)保存在客戶端，Session將狀態(tài)保存在服務器端；

2）Cookies是服務器在本地機器上存儲的小段文本并隨每一個請求發(fā)送至同一個服務器。Cookie最早在RFC2109中實現(xiàn)，后續(xù)RFC2965做了增強。網絡服務器用HTTP頭向客戶端發(fā)送cookies，在客戶終端，瀏覽器解析這些cookies并將它們保存為一個本地文件，它會自動將同一服務器的任何請求縛上這些cookies。Session并沒有在HTTP的協(xié)議中定義；

3）Session是針對每一個用戶的，變量的值保存在服務器上，用一個sessionID來區(qū)分是哪個用戶session變量,這個值是通過用戶的瀏覽器在訪問的時候返回給服務器，當客戶禁用cookie時，這個值也可能設置為由get來返回給服務器；

4）就安全性來說：當你訪問一個使用session 的站點，同時在自己機子上建立一個cookie，建議在服務器端的SESSION機制更安全些。因為它不會任意讀取客戶存儲的信息。

通過表單變量保持狀態(tài)

除了Cookies之外，還可以使用表單變量來保持狀態(tài)，比如Asp.net就通過一個叫ViewState的Input=“hidden”的框來保持狀態(tài),比如:

這個原理和Cookies大同小異，只是每次請求和響應所附帶的信息變成了表單變量。

通過QueryString保持狀態(tài)

QueryString通過將信息保存在所請求地址的末尾來向服務器傳送信息，通常和表單結合使用，一個典型的QueryString比如:www.xxx.com/xxx.do?var1=valuevar2=value2

八、使用telnet進行http測試

在Windows下，可使用命令窗口進行http簡單測試。輸入cmd進入命令窗口，在命令行鍵入如下命令后按回車：
telnet www.baidu.com 80而后在窗口中按下"Ctrl+]"后按回車可讓返回結果回顯。

接著開始發(fā)請求消息，例如發(fā)送如下請求消息請求baidu的首頁消息，使用的HTTP協(xié)議為HTTP/1.1：
GET /index.html HTTP/1.1

注意：copy如上的消息到命令窗口后需要按兩個回車換行才能得到響應的消息，第一個回車換行是在命令后鍵入回車換行，是HTTP協(xié)議要求的。第二個是確認輸入，發(fā)送請求。

可看到，當采用HTTP/1.1時，連接不是在請求結束后就斷開的。若采用HTTP1.0，在命令窗口鍵入：GET /index.html HTTP/1.0

此時可以看到請求結束之后馬上斷開。

讀者還可以嘗試在使用GET或POST等時，帶上頭域信息，例如鍵入如下信息：
GET /index.html HTTP/1.1
connection: close
Host: www.baidu.com

九、URL詳解

URL(Uniform Resource Locator) 地址用于描述一個網絡上的資源， 基本格式如下
schema://host[:port#]/path/.../[;url-params][?query-string][#anchor]

1. scheme 指定低層使用的協(xié)議(例如：http, https, ftp)
2. host HTTP服務器的IP地址或者域名
3. port# HTTP服務器的默認端口是80，這種情況下端口號可以省略。如果使用了別的端口，必須指明，例如 http://www.cnblogs.com:8080/
4. path 訪問資源的路徑
5. url-params
6. query-string 發(fā)送給http服務器的數據
7. anchor- 錨

URL 的一個例子：

http://www.mywebsite.com/sj/test;id=8079?name=sviergnx=true#stuff
Schema: http
host: www.mywebsite.com
path: /sj/test
URL params: id=8079
Query String: name=sviergnx=true
Anchor: stuff

十、緩存的實現(xiàn)原理

WEB緩存(cache)位于Web服務器和客戶端之間。

緩存會根據請求保存輸出內容的副本，例如html頁面，圖片，文件，當下一個請求來到的時候：如果是相同的URL，緩存直接使用副本響應訪問請求，而不是向源服務器再次發(fā)送請求。

HTTP協(xié)議定義了相關的消息頭來使WEB緩存盡可能好的工作。

緩存的優(yōu)點

減少相應延遲：因為請求從緩存服務器（離客戶端更近）而不是源服務器被相應，這個過程耗時更少，讓web服務器看上去相應更快。

減少網絡帶寬消耗：當副本被重用時會減低客戶端的帶寬消耗；客戶可以節(jié)省帶寬費用，控制帶寬的需求的增長并更易于管理。

客戶端緩存生效的常見流程

服務器收到請求時，會在200OK中回送該資源的Last-Modified和ETag頭，客戶端將該資源保存在cache中，并記錄這兩個屬性。當客戶端需要發(fā)送相同的請求時，會在請求中攜帶If-Modified-Since和If-None-Match兩個頭。兩個頭的值分別是響應中Last-Modified和ETag頭的值。服務器通過這兩個頭判斷本地資源未發(fā)生變化，客戶端不需要重新下載，返回304響應。

Web緩存機制

HTTP/1.1中緩存的目的是為了在很多情況下減少發(fā)送請求，同時在許多情況下可以不需要發(fā)送完整響應。前者減少了網絡回路的數量；HTTP利用一個“過期（expiration）”機制來為此目的。后者減少了網絡應用的帶寬；HTTP用“驗證（validation）”機制來為此目的。

HTTP定義了3種緩存機制：

1）Freshness：允許一個回應消息可以在源服務器不被重新檢查，并且可以由服務器和客戶端來控制。例如，Expires回應頭給了一個文檔不可用的時間。Cache-Control中的max-age標識指明了緩存的最長時間；

2）Validation：用來檢查以一個緩存的回應是否仍然可用。例如，如果一個回應有一個Last-Modified回應頭，緩存能夠使用If-Modified-Since來判斷是否已改變，以便判斷根據情況發(fā)送請求；

3）Invalidation：在另一個請求通過緩存的時候，常常有一個副作用。例如，如果一個URL關聯(lián)到一個緩存回應，但是其后跟著POST、PUT和DELETE的請求的話，緩存就會過期。

 十一、HTTP應用

斷點續(xù)傳的實現(xiàn)原理

HTTP協(xié)議的GET方法，支持只請求某個資源的某一部分；

206 Partial Content 部分內容響應；

Range 請求的資源范圍；

Content-Range 響應的資源范圍；

在連接斷開重連時，客戶端只請求該資源未下載的部分，而不是重新請求整個資源，來實現(xiàn)斷點續(xù)傳。
分塊請求資源實例：

Eg1：Range: bytes=306302- ：請求這個資源從306302個字節(jié)到末尾的部分；

Eg2：Content-Range: bytes 306302-604047/604048：響應中指示攜帶的是該資源的第306302-604047的字節(jié)，該資源共604048個字節(jié)；

客戶端通過并發(fā)的請求相同資源的不同片段，來實現(xiàn)對某個資源的并發(fā)分塊下載。從而達到快速下載的目的。目前流行的FlashGet和迅雷基本都是這個原理。

多線程下載的原理

下載工具開啟多個發(fā)出HTTP請求的線程；

每個http請求只請求資源文件的一部分：Content-Range: bytes 20000-40000/47000；

合并每個線程下載的文件。

http代理

http代理服務器

代理服務器英文全稱是Proxy Server，其功能就是代理網絡用戶去取得網絡信息。形象的說：它是網絡信息的中轉站。
代理服務器是介于瀏覽器和Web服務器之間的一臺服務器，有了它之后，瀏覽器不是直接到Web服務器去取回網頁而是向代理服務器發(fā)出請求，Request信號會先送到代理服務器，由代理服務器來取回瀏覽器所需要的信息并傳送給你的瀏覽器。

而且，大部分代理服務器都具有緩沖的功能，就好象一個大的Cache，它有很大的存儲空間，它不斷將新取得數據儲存到它本機的存儲器上，如果瀏覽器所請求的數據在它本機的存儲器上已經存在而且是最新的，那么它就不重新從Web服務器取數據，而直接將存儲器上的數據傳送給用戶的瀏覽器，這樣就能顯著提高瀏覽速度和效率。更重要的是：Proxy Server(代理服務器)是Internet鏈路級網關所提供的一種重要的安全功能，它的工作主要在開放系統(tǒng)互聯(lián)(OSI)模型的對話層。

http代理服務器的主要功能：

1）突破自身IP訪問限制，訪問國外站點。如：教育網、169網等網絡用戶可以通過代理訪問國外網站；

2）訪問一些單位或團體內部資源，如某大學FTP(前提是該代理地址在該資源的允許訪問范圍之內)，使用教育網內地址段免費代理服務器，就可以用于對教育 網開放的各類FTP下載上傳，以及各類資料查詢共享等服務；

3）突破中國電信的IP封鎖：中國電信用戶有很多網站是被限制訪問的，這種限制是人為的，不同Serve對地址的封鎖是不同的。所以不能訪問時可以換一個國外的代理服務器試試；

4）提高訪問速度：通常代理服務器都設置一個較大的硬盤緩沖區(qū)，當有外界的信息通過時，同時也將其保存到緩沖區(qū)中，當其他用戶再訪問相同的信息時，則直接由緩沖區(qū)中取出信息，傳給用戶，以提高訪問速度；

5）隱藏真實IP：上網者也可以通過這種方法隱藏自己的IP，免受攻擊。

對于客戶端瀏覽器而言，http代理服務器相當于服務器。而對于Web服務器而言，http代理服務器又擔當了客戶端的角色。

虛擬主機

虛擬主機：是在網絡服務器上劃分出一定的磁盤空間供用戶放置站點、應用組件等，提供必要的站點功能與數據存放、傳輸功能。 

所謂虛擬主機，也叫“網站空間”就是把一臺運行在互聯(lián)網上的服務器劃分成多個“虛擬”的服務器，每一個虛擬主機都具有獨立的域名和完整的Internet服務器（支持WWW、FTP、E-mail等）功能。一臺服務器上的不同虛擬主機是各自獨立的，并由用戶自行管理。但一臺服務器主機只能夠支持一定數量的虛擬主機，當超過這個數量時，用戶將會感到性能急劇下降。

虛擬主機的實現(xiàn)原理

虛擬主機是用同一個WEB服務器，為不同域名網站提供服務的技術。Apache、Tomcat等均可通過配置實現(xiàn)這個功能。
相關的HTTP消息頭：Host。

例如：Host: www.baidu.com

客戶端發(fā)送HTTP請求的時候，會攜帶Host頭，Host頭記錄的是客戶端輸入的域名。這樣服務器可以根據Host頭確認客戶要訪問的是哪一個域名。

十二、HTTP認證方式

HTTP請求報頭： Authorization

HTTP響應報頭： WWW-Authenticate

HTTP認證是基于質詢/回應(challenge/response)的認證模式。

基本認證 basic authentication（HTTP1.0提出的認證方法）

基本認證是一種用來允許Web瀏覽器或其他客戶端程序在請求時提供用戶名和口令形式的身份憑證的一種登錄驗證方式。

把 "用戶名+冒號+密碼"用BASE64算法加密后的字符串放在http request 中的header Authorization中發(fā)送給服務端。
客戶端對于每一個realm，通過提供用戶名和密碼來進行認證的方式。
包含密碼的明文傳遞。

當瀏覽器訪問使用基本認證的網站的時候， 瀏覽器會提示你輸入用戶名和密碼，如下圖：

假如用戶名密碼錯誤的話，服務器會返回401，如下圖：

基本認證步驟：

1、客戶端訪問一個受http基本認證保護的資源。

2、服務器返回401狀態(tài)，要求客戶端提供用戶名和密碼進行認證。（驗證失敗的時候，響應頭會加上WWW-Authenticate: Basic realm="請求域"。）
401 Unauthorized
WWW-Authenticate： Basic realm="WallyWorld"

3、客戶端將輸入的用戶名密碼用Base64進行編碼后，采用非加密的明文方式傳送給服務器。
Authorization: Basic xxxxxxxxxx.

4、服務器將Authorization頭中的用戶名密碼解碼并取出，進行驗證，如果認證成功，則返回相應的資源。如果認證失敗，則仍返回401狀態(tài)，要求重新進行認證。

特記事項：

1、Http是無狀態(tài)的，同一個客戶端對同一個realm內資源的每一個訪問會被要求進行認證。

2、客戶端通常會緩存用戶名和密碼，并和authentication realm一起保存，所以，一般不需要你重新輸入用戶名和密碼。

3、以非加密的明文方式傳輸，雖然轉換成了不易被人直接識別的字符串，但是無法防止用戶名密碼被惡意盜用。雖然用肉眼看不出來，但用程序很容易解密。

優(yōu)點：

基本認證的一個優(yōu)點是基本上所有流行的網頁瀏覽器都支持基本認證?；菊J證很少在可公開訪問的互聯(lián)網網站上使用，有時候會在小的私有系統(tǒng)中使用（如路由器網頁管理接口）。后來的機制HTTP摘要認證是為替代基本認證而開發(fā)的，允許密鑰以相對安全的方式在不安全的通道上傳輸。

程序員和系統(tǒng)管理員有時會在可信網絡環(huán)境中使用基本認證，使用Telnet或其他明文網絡協(xié)議工具手動地測試Web服務器。這是一個麻煩的過程，但是網絡上傳輸的內容是人可讀的，以便進行診斷。

缺點：

雖然基本認證非常容易實現(xiàn)，但該方案建立在以下的假設的基礎上，即：客戶端和服務器主機之間的連接是安全可信的。特別是，如果沒有使用SSL/TLS這樣的傳輸層安全的協(xié)議，那么以明文傳輸的密鑰和口令很容易被攔截。該方案也同樣沒有對服務器返回的信息提供保護。

現(xiàn)存的瀏覽器保存認證信息直到標簽頁或瀏覽器被關閉，或者用戶清除歷史記錄。HTTP沒有為服務器提供一種方法指示客戶端丟棄這些被緩存的密鑰。這意味著服務器端在用戶不關閉瀏覽器的情況下，并沒有一種有效的方法來讓用戶登出。

一個例子：

這一個典型的HTTP客戶端和HTTP服務器的對話，服務器安裝在同一臺計算機上（localhost），包含以下步驟：

客戶端請求一個需要身份認證的頁面，但是沒有提供用戶名和口令。這通常是用戶在地址欄輸入一個URL，或是打開了一個指向該頁面的鏈接。服務端響應一個401應 答碼，并提供一個認證域。接到應答后，客戶端顯示該認證域（通常是所訪問的計算機或系統(tǒng)的描述）給用戶并提示輸入用戶名和口令。此時用戶可以選擇確定或取消。用戶輸入了用戶名和口令后，客戶端軟件會在原先的請求上增加認證消息頭（值是base64encode(username+":"+password)），然后重新發(fā)送再次嘗試。

在本例中，服務器接受了該認證屏幕并返回了頁面。如果用戶憑據非法或無效，服務器可能再次返回401應答碼，客戶端可以再次提示用戶輸入口令。

注意:客戶端有可能不需要用戶交互，在第一次請求中就發(fā)送認證消息頭。

客戶端請求（沒有認證信息）：

GET /private/index.html HTTP/1.0

Host: localhost

（跟隨一個換行，以回車（CR）加換行（LF）的形式）

服務端應答：

HTTP/1.0 401 Authorization Required

Server: HTTPd/1.0

Date: Sat, 27 Nov 2004 10:18:15 GMT

WWW-Authenticate: Basic realm="Secure Area"

Content-Type: text/html

Content-Length: 311

!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"

 "http://www.w3.org/TR/1999/REC-html401-19991224/loose.dtd">

HTML>

 HEAD>

  TITLE>Error/TITLE>

  META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-1">

 /HEAD>

 BODY>H1>401 Unauthorized./H1>/BODY>

/HTML>

客戶端的請求（用戶名“"Aladdin”，口令, password “open sesame”）：

GET /private/index.html HTTP/1.0

Host: localhost

Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

（跟隨一個空行，如上所述）

服務端的應答：

HTTP/1.0 200 OK

Server: HTTPd/1.0

Date: Sat, 27 Nov 2004 10:19:07 GMT

Content-Type: text/html

Content-Length: 10476

（跟隨一個空行，隨后是需憑據頁的HTML文本）。

HTTP OAuth認證

OAuth對于Http來說，就是放在Authorization header中的不是用戶名密碼， 而是一個token。微軟的Skydrive就是使用這樣的方式。

摘要認證 digest authentication（HTTP1.1提出的基本認證的替代方法）

這個認證可以看做是基本認證的增強版本，不包含密碼的明文傳遞。

引入了一系列安全增強的選項；“保護質量”(qop)、隨機數計數器由客戶端增加、以及客戶生成的隨機數。

在HTTP摘要認證中使用 MD5 加密是為了達成"不可逆的"，也就是說，當輸出已知的時候，確定原始的輸入應該是相當困難的。如果密碼本身太過簡單，也許可以 通過嘗試所有可能的輸入來找到對應的輸出（窮舉攻擊），甚至可以通過字典或者適當的查找表加快查找速度。

示例及說明

下面的例子僅僅涵蓋了“auth”保護質量的代碼，因為在撰寫期間，所知道的只有Opera和Konqueror網頁瀏覽器支持“auth-int”（帶完整性保護的認證）。

典型的認證過程包括如下步驟：

客戶端請求一個需要認證的頁面，但是不提供用戶名和密碼。通常這是由于用戶簡單的輸入了一個地址或者在頁面中點擊了某個超鏈接。

服務器返回401 "Unauthorized" 響應代碼，并提供認證域(realm)，以及一個隨機生成的、只使用一次的數值，稱為密碼隨機數 nonce。

此時，瀏覽器會向用戶提示認證域(realm)（通常是所訪問的計算機或系統(tǒng)的描述），并且提示用戶名和密碼。用戶此時可以選擇取消。一旦提供了用戶名和密碼，客戶端會重新發(fā)送同樣的請求，但是添加了一個認證頭包括了響應代碼。

注意：客戶端可能已經擁有了用戶名和密碼，因此不需要提示用戶，比如以前存儲在瀏覽器里的。

客戶端請求 (無認證)：

GET /dir/index.html HTTP/1.0

Host: localhost

(跟隨一個新行，形式為一個回車再跟一個換行）

服務器響應：

HTTP/1.0 401 Unauthorized

Server: HTTPd/0.9

Date: Sun, 10 Apr 2005 20:26:47 GMT

WWW-Authenticate: Digest realm="testrealm@host.com",   //認證域

                        qop="auth,auth-int",   //保護質量

                        nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",  //服務器密碼隨機數

                        opaque="5ccc069c403ebaf9f0171e9517f40e41"

Content-Type: text/html

Content-Length: 311

!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"

 "http://www.w3.org/TR/1999/REC-html401-19991224/loose.dtd">

HTML>

 HEAD>

  TITLE>Error/TITLE>

  META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-1">

 /HEAD>

 BODY>H1>401 Unauthorized./H1>/BODY>

/HTML>

客戶端請求 (用戶名 "Mufasa", 密碼 "Circle Of Life")：

GET /dir/index.html HTTP/1.0

Host: localhost

Authorization: Digest username="Mufasa",

                     realm="testrealm@host.com",

                     nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",

                     uri="/dir/index.html",

                     qop=auth,

                     nc=00000001,    //請求計數

                     cnonce="0a4f113b",   //客戶端密碼隨機數

                     response="6629fae49393a05397450978507c4ef1",

                     opaque="5ccc069c403ebaf9f0171e9517f40e41"

(跟隨一個新行，形式如前所述)。

服務器響應：

HTTP/1.0 200 OK

Server: HTTPd/0.9

Date: Sun, 10 Apr 2005 20:27:03 GMT

Content-Type: text/html

Content-Length: 7984

(隨后是一個空行，然后是所請求受限制的HTML頁面)

response 值由三步計算而成。當多個數值合并的時候，使用冒號作為分割符：

1、對用戶名、認證域(realm)以及密碼的合并值計算 MD5 哈希值，結果稱為 HA1。

2、對HTTP方法以及URI的摘要的合并值計算 MD5 哈希值，例如，"GET" 和 "/dir/index.html"，結果稱為 HA2。

3、對HA1、服務器密碼隨機數(nonce)、請求計數(nc)、客戶端密碼隨機數(cnonce)、保護質量(qop)以及 HA2 的合并值計算 MD5 哈希值。結果即為客戶端提供的 response 值。

因為服務器擁有與客戶端同樣的信息，因此服務器可以進行同樣的計算，以驗證客戶端提交的 response 值的正確性。在上面給出的例子中，結果是如下計算的。 

（MD5()表示用于計算MD5哈希值的函數；“\”表示接下一行；引號并不參與計算）

HA1 = MD5( "Mufasa:testrealm@host.com:Circle Of Life" )
       = 939e7578ed9e3c518a452acee763bce9

HA2 = MD5( "GET:/dir/index.html" )
       = 39aff3a2bab6126f332b942af96d3366

Response = MD5( "939e7578ed9e3c518a452acee763bce9:\
                         dcd98b7102dd2f0e8b11d0f600bfb0c093:\
00000001:0a4f113b:auth:\
39aff3a2bab6126f332b942af96d3366" )
= 6629fae49393a05397450978507c4ef1

此時客戶端可以提交一個新的請求，重復使用服務器密碼隨機數(nonce)（服務器僅在每次“401”響應后發(fā)行新的nonce），但是提供新的客戶端密碼隨機數(cnonce)。在后續(xù)的請求中，十六進制請求計數器(nc)必須比前一次使用的時候要大，否則攻擊者可以簡單的使用同樣的認證信息重放老的請求。由服務器來確保在每個發(fā)出的密碼隨機數nonce時，計數器是在增加的，并拒絕掉任何錯誤的請求。顯然，改變HTTP方法和/或計數器數值都會導致不同的 response值。

服務器應當記住最近所生成的服務器密碼隨機數nonce的值。也可以在發(fā)行每一個密碼隨機數nonce后，記住過一段時間讓它們過期。如果客戶端使用了一個過期的值，服務器應該響應“401”狀態(tài)號，并且在認證頭中添加stale=TRUE，表明客戶端應當使用新提供的服務器密碼隨機數nonce重發(fā)請求，而不必提示用戶其它用戶名和口令。

服務器不需要保存任何過期的密碼隨機數，它可以簡單的認為所有不認識的數值都是過期的。服務器也可以只允許每一個服務器密碼隨機數nonce使用一次，當然，這樣就會迫使客戶端在發(fā)送每個請求的時候重復認證過程。需要注意的是，在生成后立刻過期服務器密碼隨機數nonce是不行的，因為客戶端將沒有任何機會來使用這個nonce。

PS：以上只介紹了兩種比較基礎的，還有其他的一些認證方式就不在這里一一說明了。

十三、HTTPS傳輸協(xié)議原理

HTTPS（全稱：Hypertext Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容請看SSL。

兩種基本的加解密算法類型

對稱加密：密鑰只有一個，加密解密為同一個密碼，且加解密速度快，典型的對稱加密算法有DES、AES等。

非對稱加密：密鑰成對出現(xiàn)（且根據公鑰無法推知私鑰，根據私鑰也無法推知公鑰），加密解密使用不同密鑰（公鑰加密需要私鑰解密，私鑰加密需要公鑰解密），相對對稱加密速度較慢，典型的非對稱加密算法有RSA、DSA等。

HTTPS通信過程

HTTPS通信的優(yōu)點

客戶端產生的密鑰只有客戶端和服務器端能得到；

加密的數據只有客戶端和服務器端才能得到明文；

客戶端到服務端的通信是安全的。

http的狀態(tài)響應碼

1**(信息類)：表示接收到請求并且繼續(xù)處理

100——客戶必須繼續(xù)發(fā)出請求

101——客戶要求服務器根據請求轉換HTTP協(xié)議版本

2**(響應成功)：表示動作被成功接收、理解和接受

200——表明該請求被成功地完成，所請求的資源發(fā)送回客戶端

201——提示知道新文件的URL

202——接受和處理、但處理未完成

203——返回信息不確定或不完整

204——請求收到，但返回信息為空

205——服務器完成了請求，用戶代理必須復位當前已經瀏覽過的文件

206——服務器已經完成了部分用戶的GET請求

3**(重定向類)：為了完成指定的動作，必須接受進一步處理

300——請求的資源可在多處得到

301——本網頁被永久性轉移到另一個URL

302——請求的網頁被轉移到一個新的地址，但客戶訪問仍繼續(xù)通過原始URL地址，重定向，新的URL會在response中的Location中返回，瀏覽器將會使用新的URL發(fā)出新的Request。

303——建議客戶訪問其他URL或訪問方式

304——自從上次請求后，請求的網頁未修改過，服務器返回此響應時，不會返回網頁內容，代表上次的文檔已經被緩存了，還可以繼續(xù)使用

305——請求的資源必須從服務器指定的地址得到

306——前一版本HTTP中使用的代碼，現(xiàn)行版本中不再使用

307——申明請求的資源臨時性刪除

4**(客戶端錯誤類)：請求包含錯誤語法或不能正確執(zhí)行

400——客戶端請求有語法錯誤，不能被服務器所理解

401——請求未經授權，這個狀態(tài)代碼必須和WWW-Authenticate報頭域一起使用

HTTP 401.1 - 未授權：登錄失敗

　　HTTP 401.2 - 未授權：服務器配置問題導致登錄失敗

　　HTTP 401.3 - ACL 禁止訪問資源

　　HTTP 401.4 - 未授權：授權被篩選器拒絕

HTTP 401.5 - 未授權：ISAPI 或 CGI 授權失敗

402——保留有效ChargeTo頭響應

403——禁止訪問，服務器收到請求，但是拒絕提供服務

HTTP 403.1 禁止訪問：禁止可執(zhí)行訪問

　　HTTP 403.2 - 禁止訪問：禁止讀訪問

　　HTTP 403.3 - 禁止訪問：禁止寫訪問

　　HTTP 403.4 - 禁止訪問：要求 SSL

　　HTTP 403.5 - 禁止訪問：要求 SSL 128

　　HTTP 403.6 - 禁止訪問：IP 地址被拒絕

　　HTTP 403.7 - 禁止訪問：要求客戶證書

　　HTTP 403.8 - 禁止訪問：禁止站點訪問

　　HTTP 403.9 - 禁止訪問：連接的用戶過多

　　HTTP 403.10 - 禁止訪問：配置無效

　　HTTP 403.11 - 禁止訪問：密碼更改

　　HTTP 403.12 - 禁止訪問：映射器拒絕訪問

　　HTTP 403.13 - 禁止訪問：客戶證書已被吊銷

　　HTTP 403.15 - 禁止訪問：客戶訪問許可過多

　　HTTP 403.16 - 禁止訪問：客戶證書不可信或者無效

HTTP 403.17 - 禁止訪問：客戶證書已經到期或者尚未生效

404——一個404錯誤表明可連接服務器，但服務器無法取得所請求的網頁，請求資源不存在。eg：輸入了錯誤的URL

405——用戶在Request-Line字段定義的方法不允許

406——根據用戶發(fā)送的Accept拖，請求資源不可訪問

407——類似401，用戶必須首先在代理服務器上得到授權

408——客戶端沒有在用戶指定的餓時間內完成請求

409——對當前資源狀態(tài)，請求不能完成

410——服務器上不再有此資源且無進一步的參考地址

411——服務器拒絕用戶定義的Content-Length屬性請求

412——一個或多個請求頭字段在當前請求中錯誤

413——請求的資源大于服務器允許的大小

414——請求的資源URL長于服務器允許的長度

415——請求資源不支持請求項目格式

416——請求中包含Range請求頭字段，在當前請求資源范圍內沒有range指示值，請求也不包含If-Range請求頭字段

417——服務器不滿足請求Expect頭字段指定的期望值，如果是代理服務器，可能是下一級服務器不能滿足請求長。

5**(服務端錯誤類)：服務器不能正確執(zhí)行一個正確的請求

HTTP 500 - 服務器遇到錯誤，無法完成請求

　　HTTP 500.100 - 內部服務器錯誤 - ASP 錯誤

　　HTTP 500-11 服務器關閉

　　HTTP 500-12 應用程序重新啟動

　　HTTP 500-13 - 服務器太忙

　　HTTP 500-14 - 應用程序無效

　　HTTP 500-15 - 不允許請求 global.asa

　　Error 501 - 未實現(xiàn)

HTTP 502 - 網關錯誤

HTTP 503：由于超載或停機維護，服務器目前無法使用，一段時間后可能恢復正常