第二部分：URL（统一资源定位符）

url就是我们经常说的“网址”，功能就是定位网络上某一台主机上的某个资源

服务器地址（域名）：ip地址才是网络上一台主机的标识但是ip地址不容易记忆，所以就设计了域名系统，以便于记忆的字符串作为域名，通过域名上网的时候，先进过域名系统进行域名解析，得到服务器的ip地址，然后通过ip地址进行访问。在win系统下的文件夹记录了域名和ip地址的映射关系，如果将其修改，就无法进行访问。

port：在我们浏览网页的时候，在网址中并没有看到端口，这是因为http服务器默认使用80端口（https：443）

资源路径：是一个相对资源路径，这样用户不能随意访问服务器上的文件，智能访问相对应目录中的所有文件9

urlencode： url编码，目的就是将查询字符串或者资源路径中特殊的字符进行编码转移，编码格式：将特殊字符值转化为16进制的ASCII字符，前缀为 %

(像 / ? : 等这样的字符, 已经被url当做特殊意义理解了. 因此这些字符不能随意出现.比如, 某个参数中需要带有这些特殊字符,

就必须先对特殊字符进行转义.转义的规则如下:将需要转码的字符转为16进制，然后从右到左，取4位(不足4位直接处理)，每2位做一位，前面加上%，编码成%XY格式，urldecode就是urlencode的逆过程;)

ch ：#之后的数据，叫做片段标识符通常用于定位网页中的某个id标签，用于打开网页后直接跳转至指定位置

第三部分：协议版本

Header： 请求的属性，以冒号分隔和空格的键值对，每组属性之间采用\n进行分隔，遇到空行表示Header部分结束，是对于请求的附加描述和正文描述。

请求头部（只会在请求中出现的头部字段，描述请求）

正文头部（在请求和响应中都会出现，主要是对于正文的描述）

响应头部（只会在响应中出现的头部字段，描述响应）

**通用头部（**在请求和响应中都会出现，属于本次通信或者链接的一些描述）

Body：空行后边的内容都是body，body允许空字符串，如果cody存在，那么header中会有一个content—length属性来标识body的长度

HTTP常见Header

connection：keep—alive/close；可以控制长链接还是短链接

Content-Type: 数据类型(text/html等)，就是服务器收到信息后如何进行解析处理

Content-Length: Body的长度

Host: 客户端告知服务器, 所请求的资源是在哪个主机的哪个端口上;

User-Agent: 声明用户的操作系统和浏览器版本信息;

referer: 当前页面是从哪个页面跳转过来的;

location: 搭配3xx状态码使用, 告诉客户端接下来要去哪里访问;

Cookie: 用于在客户端存储少量信息. 通常用于实现会话(session)的功能;

HTTP常见状态码

重定向：最初设计的目的是：一个请求，要请求的资源被移动到了其他位置，重定向到其他链接。比如我们要请求a.png这个文件，但是每个文件都存放在根目录也不行，我们将其放入image/a.png这个文件夹中，想要依然保持原链接有效，我们要进行重定向。

HTTP响应

响应首行是：[版本号] + [状态码] + [状态码解释]http版本各个版本号的区别于介绍

协议切换： 我们经常使用的http协议，我们发一个协议你才能给我进行一个回复，服务器无法主动给客户端发送消息，比如经常使用的网页聊天功能，所以后来就有人设计了一个websocke协议，建立了一个长链接，如果服务器需要给客户端发送消息的话，就会切换到websocket协议。

头部字段中的cookie（请求头）和set-cookie(响应头)

http是一个简单的请求——响应协议，不管是短连接还是长链接，链接都不是一直持续的。

这样就会存在一个问题：比如在网站购物，因为链接不是持续的，导致每次买东西都要重新建立链接进行登录。因此，不管链接是不是原来的，但是都要分辨出用户，为了解决这个问题就提出了一个方案：cookie机制

cookie是一种信息缓存机制，将一些信息保存到客户端主机上，等下一次请求服务器的时候读取出来发送给服务器

第一次登录将用户名等信息缓存至本地，在下次再进行请求的时候就会从本地中取出来，在多次通信中不断维护客户端的状态。但是这样存在缺陷：不安全。很多敏感信息容易被劫持，因此，不能将敏感信息进行传输，所以提出了session（会话）机制。

session会话：就是为客户端和服务器的通信建立一个会话，将会话重要内容保存起来，会话内容被保存在服务器上，通过cookie只需要传输session_id即可，将敏感信息保存起来。session会话机制是在cookie机制的基础上，避免了敏感信息的传输，提高了安全性。

session和cookie简单区别

1.cookie是将关键信息保存在客户端本地，每次通信前发给服务器

2.session是将会话信息保存在服务器，通过session_id进行cookie传输，保存隐私性

本质上来说还是有一些安全隐患的,比如：cookie篡改

HTTPS协议：

https协议：在http协议的基础上进行了一层加密，因此https不是一个新的协议，而是一个加密后的协议。

加密：ssl/tls（安全套接层）加密

为什么要进行加密：

1.身份验证： 在进行网络通信的时候要知道对方是谁，并且还要可以验证通信的就是正确的。第三方权威机构+ca验证。通信前进行解析证书，查看证书中的权威机构是否是自己信任的权威机构，查看证书有没有被修改，确认对方的身份信息

2.加密传输： 对数据的传输进行加密

通信双方进行传输加密，需要进行一个密钥的协商，容易被黑客进行劫持。

3.加密方式

（1）对称加密： 数据的加密和解密使用的是相同的密钥

缺点：进行密钥协商的时候容易被劫持，加密形同虚设

优点：加解密的效率高

（2）非对称加密：数据的加密和解密使用的密钥是不一样的

缺点:加解密的效率是比较低下的

优点：安全，不怕被劫持

思想：通过指定的算法（RSA）,可以生成一对密钥（公钥和私钥），使用公钥进行加密，使用私钥进行解密

流程：链接建立成功之后，将自己的公钥发送给对方，对方使用公钥加密传输的数据，这个数据只能使用私钥进行解密

（3）混合加密： 假设是客户端对服务器进行验证

1.生成一对非对称密钥，链接建立成功，通信前将公钥发送给对方（所以这时候一开始的时候私钥是掌握在服务器的手中的，只有服务器能进行解密）

2.客户端收到后，使用公钥进行加密一个随机数a，以及自己支持的对称加密算法

3.服务器收到之后使用私钥进行解密，得到了随机数a和对方所支持的对称加密算法

4.服务器向客户端发送一个随机数b，以及自己支持的对称加密算法，客户端和服务器，各自根据两个随机数和支持的对称加密算法，计算出一个对称密钥（密钥的协商就完毕了）

5.往后的通信使用堆成密钥进行加密解密

CA证书

在实际的ssl加密中，身份验证和加密传输是聚合在一起的，即包含在CA证书中，CA证书中包含了更多的关于通信方的公钥，机构信息，证书颁发机构信息，失效时间…

整体流程： 单向验证，以服务器验证为主

服务器自己生成了一对密钥，拿着公钥去第三方权威机构颁发证书

权威机构根据服务器的公钥，生成一个CA证书给服务器

客户端与服务器建立链接后，通信前，服务器会将CA证书发送给客户端

客户端收到CA证书，进行解析验证权威机构是否自己信任，在权威机构验证身份后，解析出公钥

客户端随机生成一个随机数，使用公钥对随机数+加密算法进行加密，发送给服务器

服务器收到数据之后，使用私钥进行解密，生成一个随机数，将随机数和加密算法发给客户端

客户端收到数据后，客户端和服务器都有对方的随机数和自己的随机数，以及加密算法，进行计算得到一个对称密钥

往后的通信，使用堆成密钥进行加密传输