⽹络原理-TCP/IP①应用层规则 → 格式 → 实际用途讲解↓(1)定义应用之间怎么通信比如浏览器怎么请求网页、APP 怎么跟服务器发数据。谁先说话什么时候发请求什么时候回响应出现错误怎么办一次会话怎么开始、怎么结束比如HTTP 协议就明确规定客户端先发请求行GET / HTTP/1.1再发请求头最后发请求体服务器收到后按格式返回状态码、响应头、响应体.(2)规定数据格式纯文本 / 简单文本格式:最原始xml:比较原始可读性好冗余多json:主流方式可读性好冗余一般protobuf:高性能下使用可读性差冗余最小(3)面向具体业务聊天、发邮件、看网页、传文件、DNS 解析…… 都由应用层协议实现应用层是最贴近用户需求的一层每一种业务都对应一套专用的应用层协议看网页、接口请求→ HTTP/HTTPS把域名翻译成 IP→ DNS发邮件 / 收邮件→ SMTP / POP3 / IMAP传文件→ FTP聊天、实时消息→ WebSocket、MQTT自动获取 IP→ DHCPHTTP :采用一问一答的 请求 - 响应 模型客户端发送一个请求服务器返回一个响应还有其他模型多问一答一问多答多问多答等等②抓包应用层数据分析(这里就不介绍抓包用法了):请求数据包GET /g?bqqekAQLyEg1WWwyLicQv7eUyJ6JFiaj1gIM4QzibsXlmd4kM69qEQh9oVjFeJqKcm7ictdy5gN1Po2Wbol5ltAEgYmqDqUKHYEQSkb2At3KYaHTzpda3S0eDIg4yA8YlGVvQdgs100 HTTP/1.1\r\n Host: qh.qlogo.cn\r\n Accept: */*\r\n Connection: Keep-Alive\r\n User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)\r\n Pragma: no-cache\r\n Cache-Control: no-cache\r\n \r\n第一行[方法路径(不是完整url)版本](软件里是一行这里为了方便看换行了)GET /g?bqqekAQLyEg1WWwyLicQv7eUyJ6JFiaj1gIM4QzibsXlmd4kM69qEQh9oVjFeJqKcm7ictdy5gN1Po2Wbol5ltAEgYmqDqUKHYEQSkb2At3KYaHTzpda3S0eDIg4yA8YlGVvQdgs100 HTTP/1.1\r\n(1)请求方法GET 还有POST等等(2)路径:一般就是HOST后面的部分,比如https://www.bilibili.com/video/BV1PuP9zDE1n/?spm_id_from333.1007.tianma.1-3-3.clickvd_sourceff39d66ec682229d79998a749df90847一般网页最开始的网址往后的都是路径比如这里的www.bilibili.com就是下一个HOST接上这个路径之后才变成URL/g接口路径?后面是参数bqq业务类型 QQekxxx加密 key / 头像标识s100尺寸 100×100(3)版本号在路径的后面原网页不会显示出来抓包才能看见刚刚的数据包里的HTTP/1.1\r\n就是版本号为什么有的时候方法后直接给了完整url?→客户端用「代理服务器」上网时GET https://www.baidu.com/ HTTP/1.1其他99% 的正常情况→ 方法后面只写路径Host 单独一行GET /index.html HTTP/1.1 Host: www.baidu.com第2-n行[各种Header请求头]从刚刚的首行后面都是各自请求头直到出现一个留出来的空行表示请求头结束请求头一般有1. 通用类最基础Host访问哪个域名HTTP/1.1 必须有User-Agent你是什么浏览器 / 设备Accept你能接收什么类型内容图片、文本等Connection是否长连接 Keep-Alive2. 缓存控制类Cache-Control要不要缓存、缓存多久Pragma老版本的 no-cacheIf-Modified-Since问服务器文件有没有更新3. 身份 / 状态类Cookie浏览器带给服务器的身份信息Authorization登录令牌账号密码类4. 内容类型类Content-Type发送的数据是什么格式JSON / 表单Content-Length数据长度GET 一般没有POST 才有5. 来源 / 安全类Referer从哪个页面跳过来的Origin跨域时用表明来自哪个域名Upgrade-Insecure-Requests要求升级成 HTTPS空行后body部分:body不是每一个数据包都有的GET 请求没有请求体body所有参数都放在 URL 里头结束就结束。POST / PUT 请求才有请求体用来传表单、JSON、文件等。POST /api/login HTTP/1.1 [首行] Host: www.example.com [各种请求头] Content-Type: application/x-www-form-urlencoded Content-Length: 29 Connection: keep-alive usernameadminpassword123456 [body]请求体Body的作用报告直接抄请求体Body是客户端向服务器提交的业务数据内容主要作用传递大量 / 敏感数据不像 GET 只能把参数放 URLBody 可以放更长、更隐私的数据密码、手机号、表单内容。提交表单、上传信息登录、注册、发评论、上传文件、提交订单都用 Body 传输。传输复杂结构可以传 JSON、表单、文件二进制功能比 URL 参数强得多。更安全Body 不会显示在地址栏HTTPS 下会被加密比 URL 更适合敏感信息。GET、POST、PUT、DELETE 这些方法全都只出现在客户端发送的请求数据包中响应数据包里没有任何方法。响应数据包(注意响应没有GET,POST等方法也不一定有body)HTTP/1.1 200 OK Server: nginx Content-Type: text/html; charsetUTF-8 Content-Length: 56 Connection: keep-alive html headtitle测试页面/title/head bodyHello/body /html第一行[版本号状态码状态码解释](1)版本号HTTP/1.1(2)状态码200请求成功(3)描述OK第2-n行[各种Header请求头]Server: nginx Content-Type: text/html; charsetUTF-8 Content-Length: 56 Connection: keep-aliveServer: 服务器软件nginxContent-Type: 响应体类型是 HTMLContent-Length: 响应体长度Connection: 长连接直到空行才结束空行后:html headtitle测试页面/title/head bodyHello/body /htmlbody部分这里body也不是每一个响应数据包都有主要内容是服务器返回给浏览器的网页内容③HTTP请求(Request)(1)URLURL基本格式:平时我们俗称的 网址 其实就是 URL。互联网上的每个文件都有一个唯一的 URL它包含的信息指出文件的位置以及浏览器应该怎么处理它。以 B 站网址为例https://www.bilibili.com/video/BV1PuP9zDE1n/spm_id_from333.1007.tianma.1-3-3.click拆分对应协议https主机名www.bilibili.com路径/video/BV1PuP9zDE1n/查询参数spm_id_from333.1007.tianma.1-3-3.click?之后就是查询参数host和查询参数之间就是路径有端口号的http://127.0.0.1:8080/login?usernameadminpwd123协议://IP: 端口 / 路径参数 1 值 1 参数 2 值 2URLhttp://127.0.0.1:8080/login?usernameadminpwd1231. 协议Schemehttp2. 主机Host / IP127.0.0.13. 端口Port80804. 路径Path/login5. 查询参数Query String从?开始usernameadminpwd123参数 1usernameadmin参数 2pwd123多个参数用连接URL encode:URL encode 把网址里不能直接显示的特殊字符转换成 % 开头的编码格式让网址能安全传输。URL 中像/:?#这类字符已经被 URL 语法赋予了固定含义用来分隔协议、主机、路径、参数。如果你的参数内容里本身也出现这些字符比如密码里带?或浏览器和服务器就会误解结构导致参数解析错误。所以必须用URL 编码把它们转成%XX格式避免冲突。转义的规则如下:将需要转码的字符转为 16 进制然后从右到左取 4 位 (不足 4 位直接处理)每 2 位做一位前面加上 %编码成 % XY 格式HTTP 请求方法:方法说明支持的 HTTP 协议版本GET获取资源1.0、1.1POST传输实体主体1.0、1.1PUT传输文件1.0、1.1HEAD获得报文首部1.0、1.1DELETE删除文件1.0、1.1OPTIONS询问支持的方法1.1TRACE追踪路径1.1CONNECT要求用隧道协议连接代理1.1LINK建立和资源之间的联系1.0UNLINE断开连接关系1.0其中最重要的是GET,POST,方法(1)GET:GET 是最常用的 HTTP 方法常用于获取服务器上的某个资源。在浏览器中直接输入 URL此时浏览器就会发送出一个 GET 请求HTML 中的 link、img、script 等标签也会触发 GET 请求即除了你手动在地址栏输网址网页里的这些标签也会自动偷偷去服务器拿东西当你访问一个网页比如www.baidu.com时服务器返回给你的不仅仅是一个 HTML 文件还包含了很多代码。当浏览器解析这份 HTML 代码时发现里面有这些标签link relstylesheet hrefstyle.css引用 CSS 样式img srclogo.png引用图片script srcapp.js/script引用 JavaScript 文件浏览器发现这些标签里有href或src属性指向了外部资源它就会自动发起GET 请求去服务器把这些文件取回来。直观的过程举例:假设你访问index.html浏览器我要index.html- 发GET请求 -服务器服务器返回index.html给浏览器浏览器开始解析 HTML看到img srca.png- 立刻发GET请求 - 拿a.png看到script srcb.js- 立刻发GET请求 - 拿b.js看到link hrefc.css- 立刻发GET请求 - 拿c.cssGET 请求的特点:・首行的第一部分为 GET・URL 的 query string 可以为空也可以不为空・header 部分有若干个键值对结构・body 部分为空(2)POST方法POST 方法也是一种常见的方法是 HTTP 协议里最核心的请求方法之一核心作用就是向服务器提交 / 发送数据让服务器执行「写入、创建、更新」这类操作。POST 请求的特点:・(数据包)首行的第一部分为 POST・URL 的 query string 一般为空 (也可以不为空)・header 部分有若干个键值对结构・body 部分一般不为空body 内的数据格式通过 header 中的 Content-Type 指定body 的长度由 header 中的 Content-Length 指定补充内容①GET和POST的区别・语义不同: GET 一般用于获取数据POST 一般用于提交数据.・GET 的 body 一般为空需要传递的数据通过 query string 传递POST 的 query string 一般为空需要传递的数据通过 body 传递・GET 请求一般是幂等的POST 请求一般是不幂等的. (如果多次请求得到的结果一样就视为请求是幂等的).・GET 可以被缓存POST 不能被缓存. (这一点也是承接幂等性).②• 关于语义: GET完全可以用于提交数据, POST也完全可以用于获取数据.• 关于幂等性: 标准建议GET实现为幂等的. 实际开发中GET也不必完全遵守这个规则(主流网站都有猜你喜欢功能, 会根据用户的历史行为实时更新现有的结果.• 关于安全性: 有些资料上说POST比GET请安全. 这样的说法是不科学的. 是否安全取决于前端在传输密码等敏感信息时是否进行加密, 和GET POST无关.• 关于传输数据量: 有的资料上说GET传输的数据量小, POST传输数据量大. 这个也是不科学的, 标准没有规定GET的URL的长度, 也没有规定POST的body的长度. 传输数据量多少, 完全取决于不同浏览器和不同服务器之间的实现区别.• 关于传输数据类型: 有的资料上说GET只能传输文本数据, POST可以传输二进制数据. 这个也是不科学的. GET的query string虽然无法直接传输二进制数据, 但是可以针对二进制数据进行url encode.(3)其他方法• PUT与POST相似只是具有幂等特性一般用于更新• DELETE删除服务器指定资源• OPTIONS返回服务器所支持的请求方法• HEAD类似于GET只不过响应体不返回只返回响应头• TRACE回显服务器端收到的请求测试的时候会用到这个• CONNECT预留暂无使用这些方法的HTTP请求可以使用ajax来构造请求报头(请求头)(header)请求头就是 HTTP 请求中紧跟在第一行后面的一堆 “键值对” 信息它是给服务器看的 “附加说明书”。它就像是你寄快递时贴在包裹上的快递单第一行请求行是去哪里POST /api/login HTTP/1.1请求头是用什么寄、身份是谁、要干什么Host、Content-Type、Cookie 等空行是快递单结束里面是包裹Body请求体是真正的包裹内容用户提交的账号密码等请求头常见类型:1. 通用类最基础Host访问哪个域名HTTP/1.1 必须有User-Agent你是什么浏览器 / 设备Accept你能接收什么类型内容图片、文本等Connection是否长连接 Keep-Alive2. 缓存控制类Cache-Control要不要缓存、缓存多久Pragma老版本的 no-cacheIf-Modified-Since问服务器文件有没有更新3. 身份 / 状态类Cookie浏览器带给服务器的身份信息Authorization登录令牌账号密码类4. 内容类型类Content-Type发送的数据是什么格式JSON / 表单Content-Length数据长度GET 一般没有POST 才有5. 来源 / 安全类Referer从哪个页面跳过来的Origin跨域时用表明来自哪个域名Upgrade-Insecure-Requests要求升级成 HTTPS其中Cookie详细介绍一下Cookie 就是服务器塞在你浏览器里的 “小型身份身份证”。它的核心作用是让服务器记住 “你是谁”从而解决 HTTP 协议 “无状态” 的问题。本质是浏览器存储在你本地的一小段文本数据格式是键值对抓包实拍最直观服务器种下 Cookie响应头HTTP/1.1 200 OK Set-Cookie: sessionIdabc123456; Path/; HttpOnly -- 这里就是在种 Cookie Content-Type: text/html你下次访问时带上它请求头GET /user/profile HTTP/1.1 Host: www.example.com Cookie: sessionIdabc123456 -- 这里就是带上了 Cookie正⽂(body)body 就是 HTTP 请求里的「正文 / 内容」只有POST、PUT、PATCH这类提交数据的请求才有 body举个最直观的例子抓包看到的样子POST /login HTTP/1.1 Host: www.xxx.com Content-Type: application/json Content-Length: 40 { username: admin, password: 123456 }上面几行是请求头空行下面的这一大段 JSON就是body注意如果不是 JSON 格式比如表单格式body 长这样usernameadminpassword123456这里就没有{ }。登录和用户认证1. 第一次访问网站还没登录你打开浏览器访问网站浏览器发请求服务器不认识你结果你是游客状态2. 你输入账号密码点登录发 POST 请求浏览器发送一个POST 请求body 里带账号密码usernamezhangsanpassword123456服务器验证通过后在响应头里给你种下 CookieSet-Cookie: userId1001; Path/; HttpOnly这一步就是服务器给你发了一张 “身份证”让浏览器存起来。3. 浏览器自动保存这个 Cookie以后只要访问这个网站浏览器都会自动在请求头里带上Cookie: userId1001你不用写代码浏览器自己干。4. 后续访问任何页面服务器看 Cookie 认人你点 “个人中心”“我的订单”……浏览器自动发GET /user/profile HTTP/1.1 Host: xxx.com Cookie: userId1001服务器一看 Cookie哦是 userId1001是张三已经登录了。于是返回你的个人信息。Session 是服务器上给每个用户单独开的 “小储物柜”Cookie 是你手里的储物柜钥匙。它们俩的关系最核心Cookie存在浏览器里存的是一串随机字符串叫sessionIdSession存在服务器里是一块内存 / 数据存真正的用户信息用户名、登录状态、权限……流程就是你登录 → 服务器创建一个Session把你的信息存进去服务器把这个 Session 的编号sessionId通过Cookie发给浏览器以后你每次访问浏览器自动带 Cookie钥匙服务器用这个sessionId找到对应的 Session储物柜认出你是谁过期问题Session 也会过期太久不操作比如 30 分钟服务器重启手动退出登录Session 一过期对应的 Cookie 也就没用了需要重新登录。