HTTP(HyperText Transfer Protocol)是 应用层协议,用于客户端(浏览器、APP)与服务器之间的数据交互。以下从协议原理、核心机制到实际案例全面解析,涵盖 HTTP/1.1 到 HTTP/3 的演进。
一、HTTP 核心特性
无状态协议
每次请求独立,服务器不保留客户端上下文(需 Cookie/Session 扩展)。请求-响应模型
客户端发起请求 → 服务器返回响应。基于文本或二进制
HTTP/1.x 使用文本格式,HTTP/2 引入二进制分帧。可扩展性
支持自定义头部字段(如X-API-Key)。
二、HTTP 报文结构详解
1. 请求报文
GET /api/users?id=123 HTTP/1.1 # 请求行(方法、路径、协议版本)
Host: api.example.com # 必需头部
User-Agent: Mozilla/5.0 # 客户端标识
Accept: application/json # 响应内容类型偏好
Authorization: Bearer xyz # 认证令牌
Cache-Control: no-cache # 缓存控制
# 空行分隔头部与主体
{"key": "value"} # 请求体(GET 无主体)2. 响应报文
HTTP/1.1 200 OK # 状态行(协议、状态码、原因短语)
Content-Type: application/json # 响应数据类型
Content-Length: 87 # 数据长度
Set-Cookie: sessionId=abc; Path=/ # 设置 Cookie
Date: Wed, 21 Oct 2023 07:28:00 GMT # 响应时间
# 空行分隔头部与主体
{"id": 123, "name": "Alice"} # 响应体三、HTTP 方法语义与安全幂等性
| 方法 | 语义 | 安全 | 幂等 | 典型场景 |
|---|---|---|---|---|
| GET | 获取资源 | 是 | 是 | 查询数据 |
| POST | 创建资源或提交数据 | 否 | 否 | 用户注册、文件上传 |
| PUT | 完整更新资源 | 否 | 是 | 替换用户信息 |
| PATCH | 部分更新资源 | 否 | 否 | 修改用户邮箱 |
| DELETE | 删除资源 | 否 | 是 | 删除订单 |
| HEAD | 获取资源的元信息 | 是 | 是 | 检查资源是否存在 |
四、HTTP 状态码分类与常见示例
| 分类 | 范围 | 常见状态码 | 说明 |
|---|---|---|---|
| 1xx | 信息 | 100 Continue | 客户端应继续发送请求体 |
| 2xx | 成功 | 200 OK | 请求成功 |
| 201 Created | 资源创建成功(配合 POST 返回) | ||
| 204 No Content | 成功但无响应体(如 DELETE 请求) | ||
| 3xx | 重定向 | 301 Moved Permanently | 资源永久重定向 |
| 302 Found | 临时重定向(浏览器默认 GET 方法) | ||
| 304 Not Modified | 资源未修改(缓存生效) | ||
| 4xx | 客户端错误 | 400 Bad Request | 请求语法错误 |
| 401 Unauthorized | 未认证 | ||
| 403 Forbidden | 无权限访问 | ||
| 404 Not Found | 资源不存在 | ||
| 5xx | 服务端错误 | 500 Internal Server Error | 服务器内部错误 |
| 502 Bad Gateway | 网关服务器无法获取响应 |
五、HTTP 头部字段精讲
1. 通用头部
- Cache-Control:
max-age=3600(缓存有效期) - Connection:
keep-alive(HTTP/1.1 持久连接) - Transfer-Encoding:
chunked(分块传输编码)
2. 请求头部
- Accept-Encoding:
gzip, deflate(支持的压缩格式) - Referer:
https://www.google.com/(请求来源页面) - If-None-Match:
"d41d8cd98f00b204e9800998ecf8427e"(ETag 缓存验证)
3. 响应头部
- Access-Control-Allow-Origin:
*(CORS 跨域控制) - Content-Encoding:
br(Brotli 压缩格式) - ETag:
"5d8c72a4-2480"(资源版本标识符)
4. 实体头部
- Content-Type:
multipart/form-data; boundary=----WebKitFormBoundaryABC123(多部分表单) - Content-Length:
1024(实体大小) - Last-Modified:
Wed, 21 Oct 2023 00:00:00 GMT(资源最后修改时间)
六、HTTP 实战案例
1. GET 请求获取资源
# 使用 curl 发送 GET 请求
curl -X GET "https://api.github.com/users/octocat" \
-H "Accept: application/json"响应示例:
{
"login": "octocat",
"id": 583231,
"avatar_url": "https://avatars.githubusercontent.com/u/583231?v=4"
}2. POST 请求提交表单
# 提交 JSON 数据
curl -X POST "https://api.example.com/login" \
-H "Content-Type: application/json" \
-d '{"username": "admin", "password": "secret"}'响应示例:
HTTP/1.1 200 OK
Set-Cookie: sessionId=abc123; Path=/; HttpOnly
{"success": true}3. 文件上传(Multipart)
<!-- HTML 表单 -->
<form action="/upload" method="post" enctype="multipart/form-data">
<input type="file" name="file">
<input type="submit">
</form>对应请求报文:
POST /upload HTTP/1.1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryABC123
------WebKitFormBoundaryABC123
Content-Disposition: form-data; name="file"; filename="test.jpg"
Content-Type: image/jpeg
[二进制文件数据]
------WebKitFormBoundaryABC123--4. RESTful API 设计示例
GET /api/users # 获取用户列表
POST /api/users # 创建用户
GET /api/users/123 # 获取 ID 为 123 的用户
PUT /api/users/123 # 全量更新用户
DELETE /api/users/123 # 删除用户七、HTTP 协议演进对比
| 特性 | HTTP/1.1 | HTTP/2 | HTTP/3(QUIC) |
|---|---|---|---|
| 传输层协议 | TCP | TCP | UDP |
| 多路复用 | 不支持(需管道化) | 支持(二进制分帧) | 原生支持 |
| 头部压缩 | 无 | HPACK | QPACK |
| 服务器推送 | 无 | 支持 | 支持 |
| 连接建立延迟 | 高(三次握手) | 中等(TLS 1.2+) | 极低(0-RTT) |
| 队头阻塞问题 | 存在(TCP 层面) | 存在(流级别) | 完全解决 |
八、HTTPS 安全机制
加密流程
- 客户端发送支持的 TLS 版本和密码套件
- 服务器返回证书和公钥
- 客户端验证证书 → 生成对称密钥 → 用公钥加密发送
- 后续通信使用对称加密(如 AES)
证书验证
- 检查证书有效期
- 验证证书链的可信性(CA 签名)
- 确认域名匹配(Subject Alternative Name)
九、性能优化关键策略
减少请求次数
- 合并小文件(CSS Sprites)
- 使用 HTTP/2 多路复用
压缩传输内容
- Gzip/Brotli 压缩文本
- WebP/AVIF 图片格式
缓存优化
- 强缓存(Cache-Control: max-age=31536000)
- 协商缓存(ETag/Last-Modified)
CDN 加速
- 静态资源分发到边缘节点
总结
HTTP 作为 Web 技术的基石,需重点关注:
- 🛠️ 协议语义:正确使用方法和状态码
- 🔒 安全实践:HTTPS 强制化、CORS 策略
- ⚡ 性能优化:头部压缩、多路复用、缓存策略
- 🚀 协议升级:优先支持 HTTP/2/3