【学习】第15章超文本传输协议

1、.第15章 超文本传输协议超文本传输协议超文本传输协议HTTP(HyperText Transfer Protocol)主要用于从主要用于从WWW服务器传输超文本到本地浏览器。服务器传输超文本到本地浏览器。HTTP协议改变了传统的线性浏览方法，通过超文本协议改变了传统的线性浏览方法，通过超文本环境实现文档间的快速环境实现文档间的快速跳转跳转。实现。实现高效浏览高效浏览。超文本传输协议超文本传输协议HTTP是是应用层协议应用层协议。常用的常用的HTTP服务器服务器有三个：有三个：共享软件共享软件APACHE Web服务器服务器(Apache是世界使用排名第是世界使用排名第一的一的Web服务器软件

2、。它可以运行在几乎所有广泛使用的服务器软件。它可以运行在几乎所有广泛使用的计算机平台上，由于其跨平台和安全性被广泛使用，是最计算机平台上，由于其跨平台和安全性被广泛使用，是最流行的流行的Web服务器端软件之一。同时服务器端软件之一。同时Apache音译为阿帕奇音译为阿帕奇) 网景公司的企业服务器网景公司的企业服务器微软公司的微软公司的Internet信息服务器（信息服务器（IIS）网景公司的企业服务器可在大多数平台上运行。网景公司的企业服务器可在大多数平台上运行。微软公司的微软公司的IIS仅在仅在Windows平台上运行。平台上运行。 .第15章 超文本传输协议15.1 统一资源定位符统一资源

3、定位符15.2 超文本传输协议超文本传输协议15.3 一般格式一般格式15.4 HTTP请求报文请求报文15.5 HTTP响应报文响应报文.15.1 统一资源定位符统一资源定位符 统一资源定位符统一资源定位符URL(Uniform Resource Locator)，也称，也称Web地址，地址，俗称俗称“网址网址”。URL的完整格式有以下基本部分的完整格式有以下基本部分组成组成： 协议协议+“:/”+主机域名主机域名(IP地址地址)+“:”端口端口号号+目录路径目录路径+文件名文件名.1协议协议 协议是指定服务连接而使用的所有访问协议，协议是指定服务连接而使用的所有访问协议，下表表示常用的协议

4、类型。下表表示常用的协议类型。协协 议议 名名 称称功功 能能httphttp超文本文件服务超文本文件服务ftpftp文件传输服务文件传输服务Gopher(Gopher(网际网际GopherGopher协议协议 ) )GopherGopher服务服务newsnewsUsenetUsenet新闻组服务新闻组服务telnettelnet远程主机连接服务远程主机连接服务wais(wais(广域信息查广域信息查询系统询系统 ) )WAISWAIS服务器连接服务服务器连接服务.2主机域名主机域名(IP地址地址) 主机域名主机域名(IP地址地址)指出指出WWW数据所在的服务器域名，数据所在的服务器域名，例

5、如例如。3端口端口(port) 服务器提供端口号表示客户访问不同资源类型，例服务器提供端口号表示客户访问不同资源类型，例如常见的如常见的WWW服务器提供端口号为服务器提供端口号为80或或8080。在。在URL中中端口号可以省略端口号可以省略，省略时连同前面的，省略时连同前面的“：”一起省略。一起省略。4目录路径目录路径(path) 目录路径指明服务器上存放被请求信息的路径。目录路径指明服务器上存放被请求信息的路径。5文件名（文件名（file） 文件名是客户访问页面的名称。例如文件名是客户访问页面的名称。例如index.htm，页，页面名称与设计时网页的源代码名称并不要求相同，面名称与设计时网页

6、的源代码名称并不要求相同，由服务器完成两者之间的映射。由服务器完成两者之间的映射。 .路径路径表示资源在主机中的位置，路径描述采表示资源在主机中的位置，路径描述采用的是用的是UNIX下的路径格式。下的路径格式。端口和路径都是可以省略的端口和路径都是可以省略的。例子：例子：0:8080返回返回.15.2 超文本传输协议超文本传输协议HTTP协议是作为一种协议是作为一种请求回答请求回答协议来实现协议来实现的。客户请求从的。客户请求从Web服务器上给他传输一页。服务器上给他传输一页。Web服务器以那一页来应答。服务器以那一页来应答。HTTP协议工作在协议工作在应用

7、层应用层。一个客户将一个请。一个客户将一个请求发送给求发送给HTTP服务器服务器(通常在通常在TCP的的80号端号端口口)；HTTP服务器接受这个请求，并给客户服务器接受这个请求，并给客户发送一个合适的回答。发送一个合适的回答。实际的通讯一般不是持续连接的，并且非静态实际的通讯一般不是持续连接的，并且非静态的。当的。当HTTP服务器回答了客户的请求之后连服务器回答了客户的请求之后连接便撤销，直到发布了下一个请求。接便撤销，直到发布了下一个请求。.1HTTP通信方式通信方式 HTTP为客户服务器通信提供了为客户服务器通信提供了握手方式握手方式 及及消息传送格式消息传送格式。 HTTP采用请求响应

8、的握手方式，采用请求响应的握手方式，HTTP定义定义的事务处理其运作的的事务处理其运作的基本过程基本过程如下图所示：如下图所示： 客客户户 服服务务器器 建建立立 T TC CP P/ /I IP P 连连接接 发发送送请请求求消消息息 发发送送响响应应消消息息 关关闭闭连连接接 .HTTP通信方式主要三种：通信方式主要三种： 1) 点对点方式点对点方式 点对点方式是最简单的传输方式，用户经过请求与源点对点方式是最简单的传输方式，用户经过请求与源服务器间通过服务器间通过HTTP建立起点对点的连接。建立起点对点的连接。 2） 具有中间服务器方式具有中间服务器方式 中间服务器系统充当通信中间服务器

9、系统充当通信中继中继功能，客户发出的功能，客户发出的 请请求通过中继到达相关的服务器，同样服务器的响应求通过中继到达相关的服务器，同样服务器的响应也要通过中继才能返回给客户也要通过中继才能返回给客户 。 3） 缓存方式缓存方式 缓存方式暂时保存一定时间内的客户请求及该客户缓存方式暂时保存一定时间内的客户请求及该客户请求所对应的服务器响应，这样的缓存便于处理新请求所对应的服务器响应，这样的缓存便于处理新的客户请求，节省网络流量和当地计算资源。的客户请求，节省网络流量和当地计算资源。.2. HTTP的安全性的安全性 HTTP安全性可以通过安全性可以通过加密和鉴别加密和鉴别来实现，最通常的方法是使来

10、实现，最通常的方法是使用用安全套接字层安全套接字层(SSL)(安全套接字层是用于服务器之上的一安全套接字层是用于服务器之上的一个加密系统，它可以确保在客户机与服务器之间传输的数据个加密系统，它可以确保在客户机与服务器之间传输的数据仍然是安全与隐密的仍然是安全与隐密的) 。安全套接字层安全套接字层SSL工作在工作在TCP/IP的传输层和应用层之间。在的传输层和应用层之间。在客户和服务器之间的所有传输都被客户和服务器之间的所有传输都被SSL加密和解密。下图显加密和解密。下图显示的是一个典型的示的是一个典型的SSL通信顺序。通信顺序。 服务器发送响应消息、证书（包含服务器的公共密钥） 客户机和服务器

11、都知道了对称密钥， 用它来加密会话期间的最终用户数据 客户机产生随机对称密钥，并用服务器公钥加密 客户机用已知的 CA 列表来认证证书 客户机发出安全会话请求 客 户 机 服 务 器 .SSL通信通信工作过程工作过程如下：如下：1）客户机发送安全客户机发送安全会话请求会话请求消息，此消息消息，此消息包括包括SSL版版本、客户机支持的密码族和客户机支持的数据压缩本、客户机支持的密码族和客户机支持的数据压缩方法等。方法等。2）服务器发送服务器发送响应响应消息和服务器数字消息和服务器数字证书证书（含服务器（含服务器的公钥），的公钥），响应消息包含响应消息包含密码方法和由服务器选择密码方法和由服务器选

12、择的数据压缩方法，以及会话标识等。如果服务器需的数据压缩方法，以及会话标识等。如果服务器需要对客户进行认证（可选），则向客户发出要对客户进行认证（可选），则向客户发出“证书证书请求请求”消息。消息中消息。消息中包含包含服务器支持的数字证书类服务器支持的数字证书类型的列表和可接受的认证中心的专有名称。型的列表和可接受的认证中心的专有名称。3）客户机（）客户机（Web 浏览器）将浏览器）将验证验证服务器数字证书的服务器数字证书的有效性并有效性并检查检查服务器的响应消息参数是否可以接受。服务器的响应消息参数是否可以接受。如果服务器请求客户机的证书，客户机将发送数字如果服务器请求客户机的证书，客户机将

13、发送数字证书证书；如果；如果没有没有合适的数字证书可用，客户机将发合适的数字证书可用，客户机将发送送“没有证书没有证书”警告。如果客户机认证是警告。如果客户机认证是强制性强制性的，的，服务器将会使会话失败。服务器将会使会话失败。.4）客户机发送）客户机发送“客户机密钥交换客户机密钥交换”消息。此消消息。此消息包含随机产生的会话密钥、报文鉴别码息包含随机产生的会话密钥、报文鉴别码（MAC）密钥（用服务器的公钥加密的）以）密钥（用服务器的公钥加密的）以及用于加密和报文鉴别的密钥材料。及用于加密和报文鉴别的密钥材料。如果客户机发送数字证书给服务器，客户机将如果客户机发送数字证书给服务器，客户机将发出

14、签有客户机的专用密钥的发出签有客户机的专用密钥的“证书验证证书验证”消消息。通过验证此消息的签名，服务器可以显式息。通过验证此消息的签名，服务器可以显式验证客户机数字证书的所有权验证客户机数字证书的所有权。5）服务器发送）服务器发送“已完成已完成”消息响应，消息响应，SSL 握手握手结束。结束。 随后的所有的数据将被加密和解密。随后的所有的数据将被加密和解密。URL中包中包含含HTTPS:/,表明使用了安全套接字层。表明使用了安全套接字层。.3HTTP主要特点主要特点 1）简单简单 HTTP协议在客户与服务器连接后，要求客户必须传协议在客户与服务器连接后，要求客户必须传送的信息只是送的信息只是

15、请求方法和路径请求方法和路径。 HTTP协议规范定义的协议规范定义的几种请求方法几种请求方法，实际上常用的，实际上常用的只是其中的只是其中的GET、HEAD、POST三种。由于三种。由于HTTP简单，使得简单，使得HTTP服务器程序规模小且简单服务器程序规模小且简单，与其它，与其它协议相比协议相比时间开销小时间开销小。HTTP协议的通信速度很快，协议的通信速度很快，可以有效地处理大量请求，得到了广泛的使用。可以有效地处理大量请求，得到了广泛的使用。 2）无连接性无连接性 HTTP是一个无连接性协议是一个无连接性协议(HTTP 1.0)，每次连接只每次连接只处理一个请求处理一个请求，并且客户接到

16、服务器，并且客户接到服务器应答后立即断开应答后立即断开连接连接。(HTTP1.1提供对持续连接的支持提供对持续连接的支持).3）无状态性无状态性 HTTP是无状态的协议。是无状态的协议。 HTTP无状态性使客户与服务器连接通信运行无状态性使客户与服务器连接通信运行速度快速度快，服务器应答也快。但是，因为无状态性，协议对事服务器应答也快。但是，因为无状态性，协议对事务处理是务处理是没有记忆没有记忆的和的和独立独立的。所以，为了满足后的。所以，为了满足后续事务处理需要前面事务的有关信息的情况，这些续事务处理需要前面事务的有关信息的情况，这些前面事务的有关信息必须在协议外面保存，这便导前面事务的有关

17、信息必须在协议外面保存，这便导致每次连接要传送较多的信息。致每次连接要传送较多的信息。 4）元信息元信息 HTTP协议对所有事务处理都加了首部，我们称之为协议对所有事务处理都加了首部，我们称之为元信息，即关于信息的信息。利用元信息可以进行元信息，即关于信息的信息。利用元信息可以进行有条件的请求，或报告一次事务处理是否成功。有条件的请求，或报告一次事务处理是否成功。返回返回.15.3 一般格式一般格式 HTTP信息采用信息采用RFC 822的普通信息格式，信息包含的普通信息格式，信息包含请求行请求行/状态行状态行(start-line)、信息首部、信息首部(messageheader) 、空行（

18、、空行（null）和信息体）和信息体(messagebody)。 请求行请求行/状态行状态行信息首部信息首部空空 行行信息行信息行.1请求行请求行/状态行状态行 请求行请求行/状态行指示本报文的状态行指示本报文的请求类型请求类型或或响应的状态响应的状态等信息。在客户端发出的请求报文中指明请求类型等信息。在客户端发出的请求报文中指明请求类型(方法方法)、URL、HTTP版本号；在服务器发出的响应版本号；在服务器发出的响应报文中指明报文中指明HTTP版本号和服务器执行请求的状态信版本号和服务器执行请求的状态信息。息。2信息首部信息首部 信息首部信息首部(message-header)用于在客户端和

19、服务器之用于在客户端和服务器之间间交换附加信息交换附加信息。HTTP信息首部有信息首部有4类：类：一般首部一般首部(generalheader)请求首部请求首部(request-header)响应首部响应首部(response-header)实体首部实体首部(entity-header) . 信息首部每行用一个首部名信息首部每行用一个首部名- -值对表示。首部值对表示。首部名和首部值用冒号分割。名和首部值用冒号分割。 首部内容：首部内容： (1) 一般首部一般首部：一般首部是：一般首部是请求和响应中都可请求和响应中都可以出现的用于描述报文的一般信息以出现的用于描述报文的一般信息，如，如Cach

20、e-control、Connection、Date、MIME-version、Upgrade。首部名：首部值首部名：首部值首部名：首部值首部名：首部值首部名：首部值首部名：首部值.(2)请求首部请求首部：仅出现在请求报文中，：仅出现在请求报文中，定义客户定义客户端的配置和客户端所期望的文档格式端的配置和客户端所期望的文档格式。如：。如：Accept 表明客户端可以接受的媒体格式表明客户端可以接受的媒体格式Accept-charset 表明客户端可以处理的字符集表明客户端可以处理的字符集Accept-encoding 表明客户端可以处理的编码机制表明客户端可以处理的编码机制Accept-lang

21、uage 表明客户端可以接受的语言表明客户端可以接受的语言Authorization 表明客户端具有的权限表明客户端具有的权限From 表明用户的表明用户的e-mail地址地址Host 表示客户端的主机和端口号表示客户端的主机和端口号If-modified-since 如果比定义的日期新则发送文件如果比定义的日期新则发送文件If-match 如果与给定匹配则发送文件如果与给定匹配则发送文件.(3)响应首部响应首部：仅出现在响应报文中，定义：仅出现在响应报文中，定义服务器的配置服务器的配置和关于请求的信息和关于请求的信息。如：。如：Accept-range 服务器接受客户请求的范围服务器接受客户

22、请求的范围Age 文档的存在时间文档的存在时间 Public 表明服务器所支持的方法列表表明服务器所支持的方法列表Retry-after 定义服务器可用的日期定义服务器可用的日期Server 服务器名和版本号服务器名和版本号(4)实体首部实体首部：给出文档主体数据的信息给出文档主体数据的信息。实体头部。实体头部主要主要出现在响应中出现在响应中，POST和和PUT类型的请求类型的请求也会使用实也会使用实体头部。体头部。 HTML的书看看的书看看FORM ： GET：请求的数据随：请求的数据随HTTP请求头发过去请求头发过去 POST:请求的数据在请求的数据在HTTP请求头发过去之后再发过去请求头

23、发过去之后再发过去 PUT：用于上传数据：用于上传数据 .Allow 可用于可用于URL的方法列表的方法列表Content-encoding 定义编码机制定义编码机制Content-language 定义语言定义语言Content-length 表示文档的长度表示文档的长度Content-range 定义文档的范围定义文档的范围Content-type 定义媒体的类型定义媒体的类型Etag 实体标签实体标签Expires 给出实体可能变化的日期和时间给出实体可能变化的日期和时间Last-modified 给出实体上次变化的日期和时间给出实体上次变化的日期和时间Location 定义产生和移动的

24、文档的位置定义产生和移动的文档的位置.3. 信息体信息体(message-body) 信息体是用来传递与请求或响应相关的实体的。信息体是用来传递与请求或响应相关的实体的。使用传递编码使用传递编码：信息体是经过编码的实体；：信息体是经过编码的实体；未使用传递编码未使用传递编码：信息体就是实体本身。：信息体就是实体本身。传递编码主要是用来增强保密性或让支持这种传递编码主要是用来增强保密性或让支持这种编码的接收者能正确接收。编码的接收者能正确接收。 在客户的在客户的请求报文中请求报文中，信息体存放，信息体存放POST、PUT等请求向服务器传送的数据；等请求向服务器传送的数据； 在服务器发出的在服务器

25、发出的响应报文中响应报文中，信息体存放服，信息体存放服务器返回的客户所请求的页面。务器返回的客户所请求的页面。返回返回.15.4 HTTP请求报文请求报文 在在HTTP报文中，大多数请求报文没有实体数报文中，大多数请求报文没有实体数据，请求报文的格式如图所示：据，请求报文的格式如图所示： 常用的常用的HTTP请求的请求的方法方法有有GET、HEAD、PUT、POST、DELETE、LINK、UNLINK七七种方法，其中种方法，其中GET、HEAD、POST方法被大方法被大多数服务器支持。多数服务器支持。 .1) GET方法方法 GET方法的目的是取回由方法的目的是取回由URL指定的资源。指定的

26、资源。若对象是若对象是文件文件，则，则GET取的是文件内容；取的是文件内容；若对象是若对象是程序或描述程序或描述，则，则GET取的是该程序执行的取的是该程序执行的结果，或该描述的输出；结果，或该描述的输出；若对象是若对象是数据库查询数据库查询，则，则GET取的是查询的结果。取的是查询的结果。 GET允许通过使用允许通过使用IF语句来增加附加的灵活语句来增加附加的灵活性，即性，即条件条件GET。当在。当在IF语句中的语句中的条件得到满条件得到满足时，数据便被传输足时，数据便被传输。如果。如果Web页在最近没有页在最近没有被更新，被更新，HTTP客户便可以使用客户便可以使用Web页在缓冲页在缓冲区

27、的拷贝。这样可以充分利用网络带宽。区的拷贝。这样可以充分利用网络带宽。.2) HEAD方法方法 HEAD方法要求服务器方法要求服务器查找某对象的元信息查找某对象的元信息而不是对而不是对象本身，仅要求服务器返回关于文档的信息，而非象本身，仅要求服务器返回关于文档的信息，而非文档本身。例如用户想知道对象的大小，对象的最文档本身。例如用户想知道对象的大小，对象的最后一次修改的时间等。后一次修改的时间等。HEAD方法和方法和GET方法的工作非常类似，只是信息体方法的工作非常类似，只是信息体不被返回到客户那里。不被返回到客户那里。3) POST方法方法 POST方法方法从客户向服务器传送数据从客户向服务

28、器传送数据，用来请求，用来请求HTTP服务器服务器将附带的数据当作将附带的数据当作HTTP服务器一个新服务器一个新的记录来接收的记录来接收。这种方法可被用来将消息发给一个。这种方法可被用来将消息发给一个新闻组，或向新闻组，或向HTTP服务器提交一个服务器提交一个HTML表格，或表格，或者将一个记录附加到者将一个记录附加到HTTP服务器上驻留的一个数据服务器上驻留的一个数据库上去。库上去。.4）PUT方法方法 PUT方法是用来请求方法是用来请求将这个请求中所发送的数将这个请求中所发送的数据储存到请求消息中表明的资源处据储存到请求消息中表明的资源处。如果数据。如果数据已经存在，则此数据将被看成已存

29、在数据的一已经存在，则此数据将被看成已存在数据的一个修改。个修改。与与POST方法的不同之处：方法的不同之处：数据的目标位置可以数据的目标位置可以规定规定。5）DELETE方法方法 DELETE方法是用来请求方法是用来请求HTTP服务器删除在服务器删除在请求消息中表明的资源。这个方法可能被人工请求消息中表明的资源。这个方法可能被人工干预或干预或HTTP服务器上的安全设置所超越。仅服务器上的安全设置所超越。仅当服务器同意删除这个资源时，才会发送一个当服务器同意删除这个资源时，才会发送一个成功应答。成功应答。.6）TRACE方法方法 TRACE方法用来确保方法用来确保HTTP服务器所接收到的服务器

30、所接收到的数据是正确的。数据是正确的。TRACE的回答是实际的的回答是实际的HTTP请求，允许对请求，允许对HTTP请求进行测试和调试。请求进行测试和调试。7）CONNECT方法方法 CONNECT方法被保留为安全接口层方法被保留为安全接口层SSL隧隧道所用。道所用。信息首部可以有一个或多个行首部，每一个首部行由首部名、冒号、空格和首部值组成。返回返回.15.5 HTTP响应报文HTTP响应报文一般都带有实体数据，响应响应报文一般都带有实体数据，响应报文的格式如图所示。报文的格式如图所示。.1.状态行状态行(status-line) 响应信息中的状态行由协议响应信息中的状态行由协议版本号版本号

31、、数字式的、数字式的状态码状态码(status-code)以及这个状态码对应的以及这个状态码对应的状态短语状态短语(Reason-Phase)组成。响应信息中，状态行以后的组成。响应信息中，状态行以后的内容均使用内容均使用MIME进行编码。进行编码。版本版本状态码状态码：3位十进制数的状态编码。位十进制数的状态编码。100199 信息信息200299 成功成功300399 重定向重定向400499 客户端错客户端错500599 服务器错服务器错状态短语状态短语：对状态码的文字解释。：对状态码的文字解释。. HTTP1.1正被定义为新的正被定义为新的HTTP协议的标准。协议的标准。一些一些新特性

32、新特性已被增加到最新版本的已被增加到最新版本的 HTTP协协议中，包括如下这些：议中，包括如下这些： 。此协议以前的实现方法要求为每一个在一。此协议以前的实现方法要求为每一个在一个个Web页上嵌入的图像建立一个独立的连接。页上嵌入的图像建立一个独立的连接。 流水线技术流水线技术。这个特性允许给一个。这个特性允许给一个Web服务服务器发送附加的请求，这可在他们初始请求的器发送附加的请求，这可在他们初始请求的回答信号到达之前发生。这将导致一个巨大回答信号到达之前发生。这将导致一个巨大的性能改进。的性能改进。 缓冲区指针缓冲区指针。实现缓冲区指针允许客户和服。实现缓冲区指针允许客户和服务器的缺省缓冲区算法可以被调用或优化。务器的缺省缓冲区算法可以被调用或优化。. 主机标题主机标题。HTTP1.1协议允许多重主机名与协议允许多重主机名与一个单独的一个单独的IP地址相关联。这便除去了给一地址相关联。这便除去了给一个驻留许多虚拟服务器的个驻留许多虚拟服务器的Web服务器配置多服务器配置多个个IP地址