HTTP和HTTPS请求的整个过程详解

小橙子小橘子的日记 4月17日

HTTP和HTTPS的请求流程也是面试的时候一大考点，如果不掌握的话，容易丢失印象分。这两种请求都是基于TCP/IP，不明白的请看上一篇文章。这里总结HTTP/HTTPS请求的整个过程，以备不时之需。

一、HTTP请求的过程

1.浏览器根据域名解析IP地址

浏览器根据访问的域名找到其IP地址。DNS查找过程如下：

浏览器缓存：首先搜索浏览器自身的DNS缓存（缓存的时间比较短，大概只有1分钟，且只能容纳1000条缓存），看自身的缓存中是否是有域名对应的条目，而且没有过期，如果有且没有过期则解析到此结束。

系统缓存：如果浏览器自身的缓存里面没有找到对应的条目，那么浏览器会搜索操作系统自身的DNS缓存，如果找到且没有过期则停止搜索解析到此结束。

路由器缓存：如果系统缓存也没有找到，则会向路由器发送查询请求。

ISP（互联网服务提供商） DNS缓存：如果在路由缓存也没找到，最后要查的就是ISP缓存DNS的服务器。

2.浏览器与WEB服务器建立一个TCP连接

TCP的3次握手过程。

3.浏览器给WEB服务器发送一个HTTP请求

一个HTTP请求报文由请求行（request line）、请求头部（headers）、空行（blank line）和请求数据（request body）4个部分组成。

请求行

请求行分为三个部分：请求方法、URL和HTTP协议版本，它们之间用空格分割。例如，GET /index.html HTTP/1.1；

请求方法

HTTP/1.1 定义的请求方法有8种：GET（完整请求一个资源）、POST（提交表单）、PUT（上传文件）、DELETE（删除）、PATCH、HEAD（仅请求响应首部）、OPTIONS（返回请求的资源所支持的方法）、TRACE（追求一个资源请求中间所经过的代理）。最常的两种GET和POST，如果是RESTful接口的话一般会用到GET、POST、DELETE、PUT。

URL

统一资源定位符，是一种资源位置的抽象唯一识别方法。
组成：<协议>://<主机>:<端口>/<路径>

协议版本

协议版本的格式为：HTTP/主版本号.次版本号，常用的有HTTP/1.0和HTTP/1.1

请求头部

请求头部为请求报文添加了一些附加信息，由“名/值”对组成，每行一对，名和值之间使用冒号分隔。请求头部的最后会有一个空行，表示请求头部结束，接下来为请求数据。下面列出小部分请求头内容：

请求头	说明
Host	接受请求的服务器地址，可以是IP:端口，也可以是域名
User-Agent	发送请求的应用程序信息
Connection	指定与连接相关的属性，如Connection:Keep-Alive

请求数据

请求数据一般用在POST、PUT等请求上，如：

1username=aa&password=1234
2//或
3{"username":"aa","password":"1234"}

4.服务器端响应HTTP请求，浏览器得到HTML代码

HTTP响应报文由状态行（status line）、响应头部（headers）、空行（blank line）和响应数据（response body）4个部分组成。

状态行

状态行由3部分组成，分别为：协议版本、状态码、状态码描述。其中协议版本与请求报文一致，状态码描述是对状态码的简单描述。如下：

1Status Code: 200 OK
2//或者
3Status Code: 302 Found

响应头部

下面列出部分响应头内容：

响应头	说明
Server	服务器应用程序软件的名称和版本
Content-Type	响应正文的类型
Content-Length	响应正文长度

响应数据

用于存放需要返回给客户端的数据信息。如下：

1<html>
2<head><title>响应信息</title></head>
3<body>我是正文</body>
4</html>

5.浏览器解析HTML代码，并请求HTML代码中的资源

浏览器拿到HTML文件后，开始解析HTML代码，遇到静态资源时，就向服务器端去请求下载。

6.关闭TCP连接，浏览器对页面进行渲染呈现给用户

浏览器利用自己内部的工作机制，把请求到的静态资源和HTML代码进行渲染，呈现给用户。完成后根据Connection来决定是否关闭TCP连接。

二、HTTPS请求的过程

HTTP 协议由于其简单快速、占用资源少，一直被用于网站服务器和浏览器之间进行数据传输。但是在数据传输的过程中也存在很明显的问题，由于 HTTP 是明文协议，不会对数据进行任何方式的加密。当黑客攻击窃取了网站服务器和浏览器之间的传输报文的时，可以直接读取传输的信息，造成网站、用户资料的泄密。因此 HTTP 不适用于敏感信息的传播，这个时候需要引入 HTTPS（超文本传输安全协议）。

我们下面将具体过程整理如下：

1.客户端向服务器发起HTTPS的请求，连接到服务器的443端口；

2.服务器将非对称加密的公钥传递给客户端，以证书的形式回传到客户端；

3.客户端接受到该公钥进行验证，如果有问题，则HTTPS请求无法继续；如果没有问题，客户端这个时候随机生成一个私钥，称为client key,用于对称加密数据的。使用前面的公钥对client key进行非对称加密；客户端发起二次HTTP请求，将加密之后的client key传递给服务器；

4.服务器使用私钥进行解密，得到client key,使用client key对数据进行对称加密；

5.将对称加密的数据传递给客户端，客户端使用对称解密，得到服务器发送的数据，完成第二次HTTP请求。

三、HTTPS和HTTP的区别

通过上面详细对HTTPS的分析，我们可得：

HTTPS是密文传输，HTTP是明文传输；

默认连接的端口号是不同的，HTTPS是443端口，而HTTP是80端口；

HTTPS请求的过程需要CA证书要验证身份以保证客户端请求到服务器端之后，传回的响应是来自于服务器端，而HTTP则不需要CA证书；

HTTPS=HTTP+加密+认证+完整性保护。

四、HTTPS 加密算法

为了保护数据的安全，HTTPS 运用了诸多加密算法：

对称加密：有流式、分组两种，加密和解密都是使用的同一个密钥。

例如：DES、AES-GCM、ChaCha20-Poly1305 等。
非对称加密：加密使用的密钥和解密使用的密钥是不相同的，分别称为：公钥、私钥，公钥和算法都是公开的，私钥是保密的。非对称加密算法性能较低，但是安全性超强，由于其加密特性，非对称加密算法能加密的数据长度也是有限的。

例如：RSA、DSA、ECDSA、 DH、ECDHE 等。
哈希算法：将任意长度的信息转换为较短的固定长度的值，通常其长度要比信息小得多，且算法不可逆。

例如：MD5、SHA-1、SHA-2、SHA-256 等。
数字签名：签名就是在信息的后面再加上一段内容（信息经过 hash 后的值），可以证明信息没有被修改过。hash 值一般都会加密后（也就是签名）再和信息一起发送，以保证这个 hash 值不被修改。

微信扫一扫
关注该公众号