TLS SSL的定义
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS 与 SSL 在传输层对网络连接进行加密。
参考zhangzifan.com/https-http-…
1.如何保证公钥不被篡改
参考zhuanlan.zhihu.com/p/110216210
公钥加密也是非常消耗计算机资源
2. http版本区别
HTTP 1.0
- 请求与响应支持头域
- 响应对象以一个响应状态行开始
- 响应对象不只限于超文本
- 开始支持客户端通过POST方法向Web服务器提交数据,支持GET、HEAD、POST方法
- 支持长连接(但默认还是使用短连接),缓存机制,以及身份认证
HTTP 1.1
- Persistent Connection(keepalive连接)
- chunked编码传输
- 字节范围请求
- Pipelining(请求流水线)
- 请求消息和响应消息都应支持Host头域
- 新增了一批Request method
HTTP1.1增加了OPTIONS,PUT, DELETE, TRACE, CONNECT方法
- 缓存处理
HTTP/1.1在1.0的基础上加入了一些cache的新特性,引入了实体标签,一般被称为e-tags,新增更为强大的Cache-Control头。
HTTP 2.0
- 多路复用(二进制分帧)
HTTP 2.0最大的特点: 不会改动HTTP 的语义,HTTP 方法、状态码、URI 及首部字段,等等这些核心概念上一如往常,却能致力于突破上一代标准的性能限制,改进传输性能,实现低延迟和高吞吐量。而之所以叫2.0,是在于新增的二进制分帧层。在二进制分帧层上, HTTP 2.0 会将所有传输的信息分割为更小的消息和帧,并对它们采用二进制格式的编码 ,其中HTTP1.x的首部信息会被封装到Headers帧,而我们的request body则封装到Data帧里面。
- 头部压缩
当一个客户端向相同服务器请求许多资源时,像来自同一个网页的图像,将会有大量的请求看上去几乎同样的,这就需要压缩技术对付这种几乎相同的信息。
- 随时复位
HTTP1.1一个缺点是当HTTP信息有一定长度大小数据传输时,你不能方便地随时停止它,中断TCP连接的代价是昂贵的。使用HTTP2的RST_STREAM将能方便停止一个信息传输,启动新的信息,在不中断连接的情况下提高带宽利用效率。
- 服务器端推流: Server Push
客户端请求一个资源X,服务器端判断也许客户端还需要资源Z,在无需事先询问客户端情况下将资源Z推送到客户端,客户端接受到后,可以缓存起来以备后用。
- 优先权和依赖
每个流都有自己的优先级别,会表明哪个流是最重要的,客户端会指定哪个流是最重要的,有一些依赖参数,这样一个流可以依赖另外一个流。优先级别可以在运行时动态改变,当用户滚动页面时,可以告诉浏览器哪个图像是最重要的,你也可以在一组流中进行优先筛选,能够突然抓住重点流。
Restful
- REST(Resource Representational State Transfer)是Roy Thomas Fielding在他2000年的博士论文中提出的。如果一个架构符合REST原则,就称为RESTful架构
- 本质:一种软件架构风格
- 核心:面向资源
- 解决问题:降低开发的复杂性;提高系统的可伸缩性
- Restful资源层Resource:文本、图片、服务、音频等等
- Restful表现层Representational
- 文本:txt、html、xml、json、二进制
- 图片:jpg、png
- Case:book是一个资源,获取不同的格式
- http协议的content-type和accept
- Restful状态转化State Transfer
- 幂等性:每次HTTP请求相同的参数,相同的URI,产生的结果是相同的
- GET
- POST
- PUT
- DELETE
设计概念和准则
- 网络上的所有事物都可以被抽象为资源。
- 每一个资源都有唯一的资源标识,对资源的操作不会改变这些标识。
- 所有的操作都是无状态的。
资源:网络上的一个实体,或者说是网络上的一个具体信息。
[schema://host:port]/path ?query-string
- schema:指定底层使用的协议(例如:http,https,ftp)
- host:服务器的IP地址或者域名
- port:服务器端口,默认为80
- path:访问资源的路径
- query-string:发送给http服务器的数据
- anchor:锚
SOAP WebService
WebService:是一种跨编程语言和操作系统平台的远程调用技术。
WebService通过HTTP协议发送请求和接收结果时采用XML格式封装,并增加了一些特点的HTTP消息头,这些特定的HTTP消息头和XML内容格式就是SOAP协议。
效率与易用性
SOAP由于各种需求不断扩充其本身协议的内容,导致在SOAP处理方面的性能有所下降。同时在易用性方面以及学习成本上也有所增加。
RESTful由于其面向资源接口设计以及操作抽象简化了开发者的不良设计,同时也最大限度的利用了http最初的应用协议设计理念。
安全性
RESTful对于资源型服务接口来说很合适,同时特别适合对效率要求很高,但是对于安全要求不高的场景。
SOAP的成熟性可以给需要提供给多开发语言,对于安全性要求较高的接口设计带来便利。所以我觉得纯粹说什么设计模式将会占据主导地位没有什么意义,关键还是看应用场景。
如何设计RESTful API
- 资源路径(URI)
- HTTP动词
- 过滤信息
- 状态码
- 错误处理
HTTP动词
对于资源的操作(CRUD),由HTTP动词(谓词)表示。
-
GET:从服务器取出资源(一项或多项)
-
POST:在服务器新建一个资源
-
PUT:在服务器更新资源(客户端提供改变后的完整资源)
-
PATCH:在服务器更新资源(客户端提供改变的属性)
-
DELETE:从服务器删除资源
请求类型 请求路径 功能
GET /books 获取列表
POST /book 创建一本书
GET /books/id 通过id查询一本书列表 PUT /book/id 通过id更新一本书
DELETE /book/id 通过id删除一本书
过滤信息
- 如果记录数量很多,服务器不可能都将它们返回给用户。API应该提供参数,过滤返回结果。
举例:
- ?offset=10:指定返回记录的开始位置
- ?page=2&per_page=100:指定第几页,以及每页的记录数
- ?sortby=name&order=asc:指定返回结果排序,以及排序顺序
- ?animal_type_id=1:指定筛选条件
如何设计
一、URL 设计
1.1 动词 + 宾语
RESTful 的核心思想就是,客户端发出的数据操作指令都是"动词 + 宾语"的结构。比如,GET /articles这个命令,GET是动词,/articles是宾语。
动词通常就是五种 HTTP 方法,对应 CRUD 操作。
- GET:读取(Read)
- POST:新建(Create)
- PUT:更新(Update)
- PATCH:更新(Update),通常是部分更新
- DELETE:删除(Delete)
根据 HTTP 规范,动词一律大写。
1.2 动词的覆盖
有些客户端只能使用GET和POST这两种方法。服务器必须接受POST模拟其他三个方法(PUT、PATCH、DELETE)。
这时,客户端发出的 HTTP 请求,要加上X-HTTP-Method-Override属性,告诉服务器应该使用哪一个动词,覆盖POST方法。
POST /api/Person/4 HTTP/1.1
X-HTTP-Method-Override: PUT
上面代码中,X-HTTP-Method-Override指定本次请求的方法是PUT,而不是POST。
1.3 宾语必须是名词
宾语就是 API 的 URL,是 HTTP 动词作用的对象。它应该是名词,不能是动词。比如,/articles这个 URL 就是正确的,而下面的 URL 不是名词,所以都是错误的。
- /getAllCars
- /createNewCar
- /deleteAllRedCars
1.4 复数 URL
既然 URL 是名词,那么应该使用复数,还是单数?
这没有统一的规定,但是常见的操作是读取一个集合,比如GET /articles(读取所有文章),这里明显应该是复数。
为了统一起见,建议都使用复数 URL,比如GET /articles/2要好于GET /article/2。
1.5 避免多级 URL
常见的情况是,资源需要多级分类,因此很容易写出多级的 URL,比如获取某个作者的某一类文章。
GET /authors/12/categories/2
这种 URL 不利于扩展,语义也不明确,往往要想一会,才能明白含义。
更好的做法是,除了第一级,其他级别都用查询字符串表达。
GET /authors/12?categories=2
下面是另一个例子,查询已发布的文章。你可能会设计成下面的 URL。
GET /articles/published
查询字符串的写法明显更好。
GET /articles?published=true
二、状态码
2.1 状态码必须精确
客户端的每一次请求,服务器都必须给出回应。回应包括 HTTP 状态码和数据两部分。
HTTP 状态码就是一个三位数,分成五个类别。
- 1xx:相关信息
- 2xx:操作成功
- 3xx:重定向
- 4xx:客户端错误
- 5xx:服务器错误
这五大类总共包含100多种状态码,覆盖了绝大部分可能遇到的情况。每一种状态码都有标准的(或者约定的)解释,客户端只需查看状态码,就可以判断出发生了什么情况,所以服务器应该返回尽可能精确的状态码。
API 不需要1xx状态码,下面介绍其他四类状态码的精确含义。
2.2 2xx 状态码
200状态码表示操作成功,但是不同的方法可以返回更精确的状态码。
- GET: 200 OK
- POST: 201 Created
- PUT: 200 OK
- PATCH: 200 OK
- DELETE: 204 No Content
上面代码中,POST返回201状态码,表示生成了新的资源;DELETE返回204状态码,表示资源已经不存在。
此外,202 Accepted状态码表示服务器已经收到请求,但还未进行处理,会在未来再处理,通常用于异步操作。下面是一个例子。
HTTP/1.1 202 Accepted
{
"task": {
"href": "/api/company/job-management/jobs/2130040",
"id": "2130040"
}
}
2.3 3xx 状态码
API 用不到301状态码(永久重定向)和302状态码(暂时重定向,307也是这个含义),因为它们可以由应用级别返回,浏览器会直接跳转,API 级别可以不考虑这两种情况。
API 用到的3xx状态码,主要是303 See Other,表示参考另一个 URL。它与302和307的含义一样,也是"暂时重定向",区别在于302和307用于GET请求,而303用于POST、PUT和DELETE请求。收到303以后,浏览器不会自动跳转,而会让用户自己决定下一步怎么办。下面是一个例子。
HTTP/1.1 303 See Other
Location: /api/orders/12345
2.4 4xx 状态码
4xx状态码表示客户端错误,主要有下面几种。
400 Bad Request:服务器不理解客户端的请求,未做任何处理。
401 Unauthorized:用户未提供身份验证凭据,或者没有通过身份验证。
403 Forbidden:用户通过了身份验证,但是不具有访问资源所需的权限。
404 Not Found:所请求的资源不存在,或不可用。
405 Method Not Allowed:用户已经通过身份验证,但是所用的 HTTP 方法不在他的权限之内。
410 Gone:所请求的资源已从这个地址转移,不再可用。
415 Unsupported Media Type:客户端要求的返回格式不支持。比如,API 只能返回 JSON 格式,但是客户端要求返回 XML 格式。
422 Unprocessable Entity :客户端上传的附件无法处理,导致请求失败。
429 Too Many Requests:客户端的请求次数超过限额。
2.5 5xx 状态码
5xx状态码表示服务端错误。一般来说,API 不会向用户透露服务器的详细信息,所以只要两个状态码就够了。
500 Internal Server Error:客户端请求有效,服务器处理时发生了意外。
503 Service Unavailable:服务器无法处理请求,一般用于网站维护状态。
三、服务器回应
3.1 不要返回纯本文
API 返回的数据格式,不应该是纯文本,而应该是一个 JSON 对象,因为这样才能返回标准的结构化数据。所以,服务器回应的 HTTP 头的Content-Type属性要设为application/json。
客户端请求时,也要明确告诉服务器,可以接受 JSON 格式,即请求的 HTTP 头的ACCEPT属性也要设成application/json。下面是一个例子。
GET /orders/2 HTTP/1.1
Accept: application/json
3.2 发生错误时,不要返回 200 状态码
有一种不恰当的做法是,即使发生错误,也返回200状态码,把错误信息放在数据体里面,就像下面这样。
HTTP/1.1 200 OK
Content-Type: application/json
{
"status": "failure",
"data": {
"error": "Expected at least two items in list."
}
}
上面代码中,解析数据体以后,才能得知操作失败。
这张做法实际上取消了状态码,这是完全不可取的。正确的做法是,状态码反映发生的错误,具体的错误信息放在数据体里面返回。下面是一个例子。
HTTP/1.1 400 Bad Request
Content-Type: application/json
{
"error": "Invalid payoad.",
"detail": {
"surname": "This field is required."
}
}
3.3 提供链接
API 的使用者未必知道,URL 是怎么设计的。一个解决方法就是,在回应中,给出相关链接,便于下一步操作。这样的话,用户只要记住一个 URL,就可以发现其他的 URL。这种方法叫做 HATEOAS。
举例来说,GitHub 的 API 都在 api.github.com 这个域名。访问它,就可以得到其他 URL。
{
...
"feeds_url": "https://api.github.com/feeds",
"followers_url": "https://api.github.com/user/followers",
"following_url": "https://api.github.com/user/following{/target}",
"gists_url": "https://api.github.com/gists{/gist_id}",
"hub_url": "https://api.github.com/hub",
...
}
上面的回应中,挑一个 URL 访问,又可以得到别的 URL。对于用户来说,不需要记住 URL 设计,只要从 api.github.com 一步步查找就可以了。
HATEOAS 的格式没有统一规定,上面例子中,GitHub 将它们与其他属性放在一起。更好的做法应该是,将相关链接与其他属性分开。
HTTP/1.1 200 OK
Content-Type: application/json
{
"status": "In progress",
"links": {[ { "rel":"cancel", "method": "delete", "href":"/api/status/12345" } , { "rel":"edit", "method": "put", "href":"/api/status/12345" } ]}
}
Socket 应用层的 (有2个socket 应用层socket 跟socket接口)
什么是socket,参考blog.csdn.net/pashanhu640…
socket简易的聊天室通信demo没有实现 (网络找一个看看)
如何保持长连接 参考 参考2:http的keep-alive跟tcp的keep-alive
http长连接(短连接是 三次握手通信了后 就执行了四次挥手,而长连接 通信了后继续保持连接)
socket的长链接框架 mars shark
tcp通信(简易)
public class SocketServer {
public static void main(String ... args) throws IOException {
//1 创建一个服务端的ServerSocket,指定一个端口,监听此端口
ServerSocket serverSocket = new ServerSocket(12346);
//2 调用accept方法等待客户端连接
System.out.println("调用accept之前。。。");
Socket socket = serverSocket.accept();//会一直处于阻塞状态
System.out.println("调用accept之后。。。");
//3 连接后获取输入,输出流
// 参考 https://blog.csdn.net/hskw444273663/article/details/85706136
InputStream is = socket.getInputStream();//读取客户端发过来的信息
InputStreamReader isr = new InputStreamReader(is);
BufferedReader br = new BufferedReader(isr);
String data = null;
while((data = br.readLine())!=null){
System.out.println("客户端发送过来的信息: " + data);
}
//参考https://blog.csdn.net/zhuoni2013/article/details/56494681
socket.shutdownInput();
socket.close();
serverSocket.close();
}
}
public class SocketClient {
public static void main(String ... args) throws IOException {
// 1 创建一个客户端Socket 指定服务器的ip地址和端口
Socket socket = new Socket("127.0.0.1",10065);
// 2 获取输出流,向服务器发送信息
OutputStream os = socket.getOutputStream();//向服务器写信息
//PrintWriter和BufferedWriter的区别https://blog.csdn.net/lipr86/article/details/83993666
//https://blog.csdn.net/lyb1832567496/article/details/52766152?utm_medium=distribute.pc_relevant
// .none-task-blog-searchFromBaidu-7.channel_param&depth_1-utm_source=distribute.pc_relevant
// .none-task-blog-searchFromBaidu-7.channel_param
PrintWriter pw = new PrintWriter(os);//将输出流包装成打印流
pw.write("Hello 服务器");
pw.flush();
//socket.shutdownOutput();//关闭输出流
// socket.close();
}
}
udp通信
public class UdpService {
public static void main(String ... args) throws IOException {
// 创建DatagramSocket 指定一个端口
DatagramSocket datagramSocket = new DatagramSocket(12307);
byte[] bytes = new byte[1024];
//消息数据报
DatagramPacket datagramPacket = new DatagramPacket(bytes,bytes.length);
//这个receive方法会阻塞
datagramSocket.receive(datagramPacket);
System.out.println("接收到的数据: " + new String(datagramPacket.getData()));
}
}
public class UdpClient {
public static void main(String ... args) throws IOException {
String msg = "Hello sevice";
DatagramSocket datagramSocket = new DatagramSocket();
//创建datagramPacket发送信息
DatagramPacket datagramPacket = new DatagramPacket(msg.getBytes(),msg.getBytes().length, InetAddress.getLocalHost(),12307);
datagramSocket.send(datagramPacket);
}
}
