计算机网络前置知识
OSI七层模型
TCP/IP 五层模型
初始HTTP
什么是HTTP
- Hyper Text Transfer Protocol 超文本传输协议
- 应用层协议,基于TCP协议
- 请求 相应
- 简单无拓展
- 无状态
协议分析
发展
HTTP/0.9 单行协议
- 请求GET/mypages.html
- 相应只有HTML文档
HTTP/1.0 构建可拓展性
- 增加了Header
- 有了状态码
- 支持了多种文档类型
- ...
HTTP/1.1 标准化协议
- 链接复用
- 缓存
- 内容协商
- ...
HTTP/2 更优异的表现
- 二进制协议
- 压缩header
- 服务器推送
- ... 更快、更稳定、更简单
帧 frame:HTTP/2通信的最小单位,每个帧都包含帧头,至少也会标识出当前帧所属的数据流
消息:与逻辑请求或相应消息对应的完整的一系列帧
数据流:已建立的连接内的双向字节流,可以承载一条或者多条消息
HTTP/2 连接都是永久的,而且仅需要每个来源一个连接
流控制:阻止发送方向接收方发送大量数据的机制
HTTP/3 草案
HTTPS概述
- Hypertext Transfer Protocol Secure
- 经过TSL/SSL加密
- 对称加密:加密和解密都是使用的同一个密钥
- 非对称加密:机密和解密需要使用两个不同的密钥:公钥(public key)和私钥(private key)
报文
Method
GET 请求一个指定资源的表示形式,使用GET请求应该只被用于获取数据
POST 用于将实体提交到指定的资源,通常导致在服务器上的状态变化或副作用
PUT 用请求有效载荷目标资源的所有当前表示
DELETE 删除指定的资源
HEAD 请求一个与GET请求相应相同的相应,但没有响应体
CONNECT 建立一个到由目标资源标识的服务器的隧道
OPTIONS 用于描述目标资源的通信选项
TRACE 沿着到目标资源的路径执行一个消息环回测试
PATCH 用于对资源应用部分修改
特性
Safe(安全的):不会修改服务器的数据方法 GET HEAD OPTIONS
Idmpotent(幂等):同样的请求被执行一次与连续执行多次的效果是一样的,服务器的状态也是一样的。所有的Safe方法都是幂等的。 GET HEAD OPTIONS + PUT DELETE
状态码
1xx
指示信息,表示请求已接受,继续处理
2xx
成功,表示请求已被成功接收、理解、接受
200 OK 客户端请求成功
202 服务器已经接收请求信息,但是尚未进行处理
3xx
重定向,要完成请求必须进行更进一步的操作
301 资源(网页等)被永久转移到其他URL
302 临时跳转
304所请求的资源未更改
4xx
客户端错误,请求有语法错误或者请求无法实现 400 客户端请求的语法错误
401 Unauthorized 请求未经授权
404 No Found请求资源不存在,可能是输入了错误的URL
5xx
服务器端错误,服务器未能实现合法的请求
500 服务器内部发生了不可预期的错误
504 GateWay Timeout网关或者代理的服务器无法在规定的时间内获得想要的相应
RESTful API
一种设计风格;Representational State Transfer
- 每一个URI代表一种资源
- 客户端和服务器之间,传递这种资源的某种表现层
- 客户端通过HTTP method,对服务器端资源进行操作,实现“表现层状态转化”
常用请求头
| 名称 | 描述 |
|---|---|
| Accept | 接受类型,表示浏览器支持的MIME类型(对标服务端返回的Content-Type) |
| Content-Type | 客户端发送出去实体内容的类型 |
| Cache-Control | 指定请求和相应遵循的缓存机制,如 no-cache |
| If-Modified-Since | 对应服务端的Last-Modified,用来匹配文件是否有变动,只能精确到1s之内 |
| Expires | 缓存控制,在这个时间不会请求,直接使用缓存,服务端时间 |
| Max-age | 代表资源在本地缓存多少秒,有效时间内不会请求,而是使用缓存 |
| If-None-Match | 对应服务器端的Etag,用来匹配文件内容是否改变(非常精确) |
| Cookie | 有cookie并且同域访问时会自动带上 |
| Referer | 该页面的来源URL(适用于所有类型的请求,会精确到详细的页面地址,CSRF拦截常用到这个字段) |
| Origin | 最初的请求是从哪里发起的(只会精确到端口),Origin比Referer更尊重隐私 |
| User-Agent | 用户客户端的一些必要信息,如UA头部等 |
常用响应头
| 名称 | 描述 |
|---|---|
| Content-Type | 服务器端返回的实体内容的类型 |
| Cache-Control | 指定请求和相应遵循的缓存机制,如 no-cache |
| Last-Modified | 请求资源的最后修改时间 |
| Expires | 应该在什么时候认为文档已过期,从而不再缓存它 |
| Max-age | 客户端的本地资源应该缓存多少秒,开启了Cache-Control后有效 |
| Etag | 资源的特定版本的标识符,Etags类似于指纹 |
| Set-Cookie | 设置和页面关联的cookie,服务器通过这个头部把cookie传给客户端 |
| Server | 服务器的一些相关信息 |
| Access-Control-Allow-Origin | 服务器端允许的请求Origin头部(譬如为*) |
缓存
强缓存
- Expires ,时间戳
- Cache-Control
- 可缓存性
- no-cache:协商缓存验证
- no-store:不使用任何缓存
- 到期
- max-age:单位是秒,存储的最大周期,相对于请求的时间
- 重新验证*重新加载
- must-revalidate:一旦资源过期,在成功向原始服务器验证之前,不能使用
- 可缓存性
协商缓存
- Etag/If-None-Match:资源的特定版本的标识符,类似于指纹
- Last-Modified/If-Modified-Since:最后修改时间
缓存请求过程
cookie
Set-Cookie-response
| 属性 | 作用 |
|---|---|
| Name = value | 各种cookie的名称和值 |
| Expires = Date | Cookie的有效值,缺省时Cookie仅在浏览器关闭之前生效 |
| Path = Path | 限制指定Cookie的发送范围的文件目录,默认为当前 |
| Domain = Domain | 限制cookie生效的域名,默认为创建cookie的服务域名 |
| secure | 仅在HTTPS安全连接时,才可以发送Cookie |
| HttpOnly | JavaScript脚本无法获得Cookie |
| SameSite = [ None | Strict | Lax ] | None同站、跨站请求都可发送; Strict仅在同站发送; Lax允许与顶级导航一起发送,并将与第三方网站发起的GET请求一起发送 |
场景分析
静态资源
静态资源方案:缓存 + CDN + 文件名 hash
- CDN:Content Delivery Network
- 通过用户就近性和服务器负载判断,CDN确保内容以一种即为高效的方式为用户请求提供服务
登录
- 业务场景
- 表单登录
- 扫码登录
记录登录信息
鉴权
- Session + cookie
- JWT(JSON web token)
跳转后的网站为什么自动登录
-
SSO:单点登录(Single Sign Online)
跨域 CORS
Cross-Origin Resource Sharing
- 预请求:获知服务端是否允许该跨源请求(负责请求)
- 相关协议头
- Access-Control-Allow-Origin
- Access-Control-Expose-Headers
- Access-Control-Max-Age
- Access-Control-Allow-Credentials
- Access-Control-Allow-Methods
- Access-Control-Allow-Headers
- Access-Control-Request-Method
- Access-Control-Request-Headers
- Origin
跨域解决方案
- CORS
- 代理服务器
- 同源策略是浏览器的安全策略,不是HTTP的
- Iframe
- 诸多不便
拓展
通信方式
WebSocket
- 浏览器与服务器进行全双工通讯的网络技术
- 典型场景:实时性要求高,例如聊天室
- URL使用ws://或wss://等 开头
