HTTP协议的定义

这篇文章暂时不研究HTTP底层的TCP/IP的握手和挥手过程，只从表面的交互流程分析HTTP协议。

HTTP英文全称是Hypertext Transfer Protpcol，也就是超文本传输协议。HTTP是一个标准，定义了Web客户端如何与服务器对话以及数据如何从服务器传回到客户端。在日常开发和使用过程中，HTTP经常被认为是一种用于传输HTML文件和文件中内嵌的图片的协议或者手段，实际上HTTP是一种通用的网络数据传输格式，它的传输内容不仅仅局限于HTML文件或者图片，也可以用来传输Microsoft Word文档甚至是Windows的exe文件等等，所有可以用字节序列表示的数据都可以使用HTTP进行传输。

HTTP通过TCP/IP进行数据传输，如果忽略底层的TCP协议的握手和挥手的细节，对于从客户端到服务器的每一个请求和请求的响应，在HTTP1.0有下面几个步骤：

• 1、默认情况下，客户端在端口80开启与服务器的一个TCP连接，当然也可以指定其他的端口。
• 2、客户端向服务器发送消息，请求指定路径上的资源。一个HTTP请求包括一个首部，可选项包括一个空行和这次请求的数据。
• 3、服务器向客户端发送响应。响应以响应码开头，接着是包含元数据的首部，可选项包括一个空行以及所请求的文档数据或者错误信息。
• 4、服务器关闭TPC连接。

在HTTP1.1(目前最常用的就是HTTP1.1)以及以后的HTTP版本中，可以通过一个TCP连接连续发送多个请求和接收多个响应。也就是说，上面的1和4步骤中间的2和3步骤可以反复执行多次。另外，HTTP1.1中，请求数据和响应数据可以分块发送，提高了扩展性。

HTTP请求方法

HTTP中定义了多种请求方法，用于标识当次请求需要完成什么类型的操作，常用的HTTP请求方法有GET、HEAD、PUT、POST、PATCH、TRACE、OPTIONS、DELETE。

上面说到的"是否安全"的选项是"是"，意味着使用该种HTTP请求方法不会发生任何数据的修改或者更新动作，也就是请求多次也不会影响到资源的状态。如果"是否幂等"的选项是"是"，意味着使用该HTTP请求方法请求多次HTTP调用，无论调用多少次，请求结果或者资源的状态是一样的(可以理解为只有首次调用是真正修改了资源的状态，从第二次调用开始后面的调用只获取到第一次调用的结果)。HTTP方法的安全性和幂等性是我们在设计HTTP接口时候需要重点考虑的两个因素。

值得注意的是：上面提到的POST和PUT方法的功能可以理解为相同的，两者的主要区别在于POST不是幂等的，而PUT是幂等的。在目前的Web开发中，POST方法已经被滥用，一般很少人会使用PUT，除非是推崇RESTFUL风格编程。PUT方法和PATCH方法的功能类似，都是用客户端请求的数据去替换掉服务器中指定文档中的内容，不过PUT方法是全部替换，而PATCH方法是部分替换。

PS：上面的方法只是HTTP协议中的请求方法的一些规范，没有硬性规定一定要遵循。

常见的HTTP状态码

JDK中常见的HTTP状态码可以在类java.net.HttpURLConnection中找到，总结一下如下：

简单概括如下：

• 响应码100-199表示一个提供信息的响应。
• 响应码200-299表示请求成功。
• 响应码300-399表示重定向。
• 响应码400-499表示一个客户端引发的错误。
• 响应码500-599表示一个服务器引发的错误。

常见的HTTP首部

下面简单列举一些比较常用的首部以及它们的作用。

User-Agent

User-Agent一般作为请求首部，用于告知服务器当前客户端使用的是什么浏览器，翻译过来就是用户代理，作用是允许服务器响应请求时候针对客户端用户代理的类型优化返回的数据或者文件。例如使用Chrome发送请求时，User-Agent如下：

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36

Host

Host一般作为请求首部，用于指定接收该请求的服务器的主机名和端口号。例如：

Host: www.importnew.com

Accept

Accept一般作为请求首部，它的作用是告知服务器它可以使用或者想要什么已经不能使用或者不想要什么。下面是几个Accept首部以及它们的作用：

Accept首部用于指定接收媒体类类型的时候，需要指定类型和子类型，这是因为媒体类型(MIME)本来就是按二级分类的，例如JPEG图像的媒体类型是image/jpeg，类型是image，子类型是jpeg。MIME已经定义了八种顶级的类型：

• text/*表示人可读的文字。
• image/*表示图片。
• model/*表示3D模型，如VRML文件。
• audio/*表示音频。
• video/*表示多媒体图片、视频，也可能是音频。
• application/*表示二进制数据。
• message/*表示协议特定的信封，如Email消息和HTTP响应。
• muitipart/*表示多个文档和资源的容器。

举个例子，如果客户端只接收JSON数据：

Accept: application/json

Referer

Referer一般作为请求首部，它提供了包含当前请求的URL的文档的URL，也就是当前请求的上一个来源的文档，一般用作防盗链。例如www.baidu.com/search?name=doge，服务器在处理此请求的时候，需要判断Referer是否为www.baidu.com，www.baidu.com/search的上一个文档来源必须是www.baidu.com，否则服务器应该拒绝该请求。

Cookie

Cookie一般作为请求首部，客户端通过它向服务器传送一个或者多个令牌，原则上Cookie并不是安全的首部，Cookie的内容也会缓存在客户端。一般在Servlet应用中，Cookie是识别当前用户，实现持久会话的最佳方式。从过期时间分类来看，Cookie分为会话Cookie和持久Cookie，会话Cookie的过期时间比较短，持久Cookie的过期时间比较长或者不会过期，Cookie的过期策略等控制应该由服务端控制。由于Cookie是直接暴露在客户端，一般不能使用Cookie存放敏感的数据，需要存放敏感数据可以考虑使用数据加密处理。

Cookie: uid=10086; domain="localhost"

Set-Cookie

Set-Cookie一般作为响应首部，和Cookie对应，表示服务器设置成功的Cookie。

Cache-Control

Cache-Control一般作为请求首部，告知服务器对当前的请求的响应结果进行缓存相关操作。Cache-Control支持的值比较多，这里不展开细节，常见的如no-cache表示在没有成功通过源站校验的情况下不得使用缓存，如max-age表示响应结果需要缓存到指定的最大时间。

Content-Type

Content-Type是通用首部，可以作为请求首部或者响应首部，它的作用是告知服务器或者客户端当前请求或者响应结果的内容(媒体)类型。

Content-Length

Content-Length是通用首部，可以作为请求首部或者响应首部，它的作用是告知服务器或者客户端当前请求或者响应数据体的长度。

Content-Encoding

Content-Encoding一般作为响应首部，与Accept-Encoding对应，用于服务器告知客户端当前响应结果的内容编码。

Content-Language

Content-Language一般作为响应首部，与Accept-Language对应，用于服务器告知客户端当前响应结果的内容语言。

Connection

Connection一般作为请求首部，表示是否需要持久连接。在HTTP1.1中，如果指定为Keep-Alive，可以提供持久连接，提高Socket的复用率从而降低多次连接的性能消耗。下面有一个小节专门介绍Keep-Alive。

Orgin

Origin一般作为请求首部，指明当前的请求是一个针对跨域资源共享的请求(该请求要求服务器在响应中加入一个Access-Control-Allow-Origin的消息头，表示访问控制所允许的来源)。

Origin: http://www.baidu.com

Access-Control-Allow-Origin

Access-Control-Allow-Origin一般作为响应首部，和Origin对应，表示服务器允许的该跨域资源共享的请求来源。

Access-Control-Allow-Origin: http://www.baidu.com

Server

Server一般作为响应首部，用于告知客户端服务器的相关信息。

HTTP请求体

如果采用GET请求方法，只需要向远处服务器提供URL，URL中的路径和查询字符串就可以匹配到需要查询的资源。但是URL中无法提供详细的客户端信息。另外，像POST和PUT这些请求方法所携带的数据体有可能比较大，无法放在URL的查询字符串。因此HTTP需要请求体。HTTP请求体包括下面四个部分：

• 1、一个起始请求行，包括HTTP方法、路径、查询字符串以及HTTP版本。
• 2、HTTP请求的首部。
• 3、一个空行(两个连续的回车或者换行对)。
• 4、请求数据体。

文字描述可能比较抽象，用图表示如下：

PS：space代表空格，\r\n代表换行。

举个例子：

GET /wp-admin/admin-ajax.php?postviews_id=23996&action=postviews&_=1538708851063 HTTP/1.1
Host: www.importnew.com
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: */*
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Referer: http://www.importnew.com/23996.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9

postviews_id=23996&action=postviews&_=1538708851063

HTTP响应体

响应体和请求体的格式类似，主要是返回服务器的响应数据到客户端，包括服务器的一些信息和响应数据体。HTTP响应体主要包括下面的四个部分：

• 1、一个起始响应行，包括HTTP版本、状态码、状态码描述。
• 2、HTTP响应的首部。
• 3、一个空行(两个连续的回车或者换行对)。
• 4、响应数据体。

文字描述可能比较抽象，用图表示如下：

PS：space代表空格，\r\n代表换行。

举个例子：

HTTP/1.1 200 OK
Server: nginx
Date: Fri, 05 Oct 2018 03:07:37 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=2
Vary: Accept-Encoding
X-Powered-By: PHP/5.3.3
X-Robots-Tag: noindex
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Content-Encoding: gzip

2995

Keep-Alive

在使用HTTP1.0的时候会为每个请求打开一个新的TCP连接，实际上，这导致了一个典型Web会话中打开和关闭所有连接所花费的事件远远大于实际传输数据所消耗的时间，特别是响应结果包含很多小文档的会话。对于使用SSL或者TLS加密的HTTPS连接，这个问题更加严重，因为建立一个安全的Socket的握手过程远比建立常规的Socket需要更多的工作。

在HTTP1.1和后面的版本中，服务器不必在返送响应之后就关闭连接。已经建立的连接可以保持打开，在同一个Socket上等待来自客户端的新请求。简单来说，就是可以在一个TCP连接上连续发送多个请求和连续进行多个请求的响应。

客户端可以在HTTP请求首部中添加一个Connection请求头，指定值为Keep-Alive，这样就能实现Socket的重用：

Connection: Keep-Alive

HTTP1.1或者之后的版本，Keep-Alive是默认开启的，不需要显式指定，如果需要关闭可以设置为close：

Connection: close

一旦开启了Keep-Alive，服务器在关闭一个Socket连接之前，如果有新的客户端再次连接到服务器，那么就是重用Socket。在JDK中可以通过系统属性来控制如果使用HTTP的Keep-Alive：

• http.keepAlive：默认值为true，默认开启HTTP的Keep-Alive。
• http.maxConnections：同时保持打开的Socket数量的最大值，默认值为5。
• http.keepAlive.remainingData：默认值为false，如果设置为true，则JDK在丢弃连接之后会完成剩余数据的清理。
• sun.net.http.errorstream.enableBuffering：默认值为false，如果设置为true，则尝试缓存400和500状态码的相对小的错误流，从而能释放连接以备后续使用。
• sun.net.http.errorstream.bufferSize：为缓存错误流的缓冲区的字节大小，默认值为4096字节，只有上一项为true的时候才有意义。
• sun.net.http.errorstream.timeout：默认值为300ms，读取错误流超时的毫秒数。

Cookie和Cookie管理

很多网站使用一些小文本串在连接之间存储持久的客户端状态，这些小文本串称为Cookie(中文翻译为：小甜点)。Cookie在请求和响应的首部从服务器传到客户端，再从客户端传回服务器，服务器使用Cookie来指示sessionID、购物车内容、登录凭据等。
除了简单的name=value对，Cookie可以有多个属性来控制它们的作用域,包括过期日期、路径、域、端口、版本和安全选项。

JDK中java.net.CookieStore类提供了对Cookie的增删查操作，它的默认实现是java.net.InMemoryCookieStore，如果实现CookieStore，JDK中的Cookie默认是存放在内存中的。另外，java.net.CookieManager内部持有CookiePolicy和CookieStore，定义了一系列管理Cookie的方法，一般通过CookieManager操作Cookie，当然也可以通过实现CookieStore，覆盖默认的CookieManager来实现Cookie的自定义管理。

小结

(本文完 c-2-d e-20181005)