超文本传输协议（HTTP及HTTPS）介绍

一、概述

超文本传输协议（HTTP，Hyper Text Transfer Protocol）是万维网（WWW，或称Web技术）中专门用来约定网页传输的技术协议，它是实现Web技术的基础协议。它定义了客户端（如浏览器）与服务器之间如何请求和传输网页数据。

我们知道，万维网（WWW）是科学家蒂姆·伯纳斯-李（Tim Berners-Lee），在1990年提出发明的。1991年8月6日，随着蒂姆·伯纳斯-李在新闻组上发布万维网项目，这一天也被认为是万维网作为公共项目的诞生日。他当初创建的第一套Web技术是由HTML（用于编写网页）、HTTP（用于传输网页）和 URL（用于定位网页）构成，称为Web技术的三大基石。

欲详细了解万维网（WWW）的请进入。

HTTP是一个用于分布式、协作式、超媒体信息系统的应用层协议。它最初的设计目的是为了提供一种发布和接收HTML页面的方法。它基于经典的客户端-服务器（B/S）架构。客户端（通常是浏览器）发起一个请求，服务器接收并处理该请求后，返回一个响应。其核心特点详见下表1的描述。

表 1：超文本传输协议（HTTP）的特点

二、HTTP协议的发展

1、概述

超文本传输协议（HTTP）自诞生以来，经历了多次重大版本迭代，包括：HTTP/0.9、HTTP/1.0、HTTP/1.1、HTTP/2、HTTP/3等，每一次都是为了解决特定时期的技术瓶颈，具体详见下表2-1的介绍，表中包括版本的发布时间、特点、关键技术等。

表 2-1：HTTP协议的发展介绍

2、HTTP/3标准

HTTP/3版本标准目前是该协议的最新标准，是由互联网工程任务组（IETF）发布和维护，主要的文档编号是 RFC 9114，发布于2022年。由于 HTTP/3 构建于全新的 QUIC 传输层之上，其规范由多个 RFC 协同定义，包括：基础传输规范 RFC 9000、头部压缩规范 RFC 9204、安全规范 RFC 9001等等，这些标准的简单介绍详见下表2-2。若要详细了解RFC 9114标准具体内容的请查阅下附件2。

表 2-2：HTTP/3协同标准简介

附件 2： RFC 9114（06/2022）《HTTP/3》

注意：QUIC是一个名字，而不是缩写。它是由RFC 9000《QUIC：基于UDP的复用安全传输（A UDP-Based Multiplexed and Secure Transport）》所规范。QUIC为应用程序提供了受流控的通信流，支持结构化通信、低延迟连接建立以及网络路径迁移。QUIC包含安全机制，可在多种部署环境中确保通信的机密性、完整性和可用性。其配套文档还描述了TLS在密钥协商、丢包检测以及示例拥塞控制算法中的集成方式。QUIC是一种面向连接的安全通用传输协议，能够客户端和服务器之间创建一种有状态交互。

三、HTTP工作原理

HTTP的通信过程建立在标准的报文格式之上，并通过URL定位资源。

1、资源定位

客户端（指浏览器）通过统一资源定位符（URL，Uniform Resource Locator）来访问服务器上的资源。一个典型的 URL 结构如下，其构成的说明请详见下表3-1。

http://www.example.com:8080/path/to/file.html?key=value#section

表 3-1：URL结构说明

欲详细了解统一资源定位符（URL）的请进入。

2、通信载体

HTTP通信载体是HTTP报文，客户端（浏览器）和服务器之间的信息交互是通过HTTP报文进行的。报文分为请求报文和响应报文，两者结构相似，详见下表3-2-1，都由三部分组成。下表3-2-2给出了示例。

表 3-2-1：HTTP报文结构内容

表 3-2-2：HTTP报文示例

3、请求方法与状态码

请求方法（HTTP Request Methods）定义了客户端希望对资源执行的操作。状态码 （HTTP Status Codes）由服务器返回，三位数字组成，表示请求的处理结果。下表3-3是对请求方法与状态码的说明。

表 3-3：请求方法与状态码的说明

4、通信流程与中介

HTTP 请求/响应的基本流程一般为：浏览器解析URL → 通过DNS查询将域名转换为IP地址 → 与服务器建立TCP连接（HTTPS则先进行TLS握手） → 浏览器发送HTTP请求报文 → 服务器处理请求并返回HTTP响应报文 → 浏览器解析并渲染响应内容 → 根据连接类型（长连接/短连接）决定是否关闭TCP连接。

HTTP中介：实际的网络架构中，客户端请求往往不会直接到达源服务器，而是会经过一些中介，包括代理（Proxy）、网关（Gateway）和隧道（Tunnel） 等。它们可以用于缓存、过滤、负载均衡等，实现分层处理。

四、HTTP的安全：HTTPS

1、概述

由于HTTP是明文传输，存在安全隐患，因此出现了 HTTPS（Hypertext Transfer Protocol Secure）。HTTPS并非是应用层的新协议，而是 HTTP + SSL/TLS 的组合。安全套接层/传输层安全协议（SSL/TLS），位于HTTP和TCP之间，为通信提供加密、身份认证和数据完整性保护。

欲详细了解安全套接层/传输层安全协议（SSL/TLS）的请进入。

2、HTTPS基本工作原理

HTTPS 巧妙地结合了两种加密方式的优点：一是用于握手阶段的非对称加密，解决“如何安全地交换对称密钥”的问题。它有一对公钥和私钥，公钥加密只能用私钥解密。速度慢，但安全。二是用于数据传输阶段的对称加密，双方使用同一个会话密钥高速加解密数据。速度快。

TLS握手阶段是建立安全连接最关键的一步，客户端和服务器需要协商出一个只有它们俩知道的“会话密钥”。其关键流程详见下表4-2的描述。

表 4-2：TLS握手阶段的关键流程

握手完成后，真正的数据（网页内容）就开始用刚才协商好的“会话密钥”进行对称加密传输了。客户端和服务器通过TLS握手协商加密算法和密钥，之后所有通信数据都经过加密传输。HTTPS通过数字证书来验证服务器身份，证书由受信任的证书颁发机构（CA）签发。

整个过程就像你先用对方的公钥（证书）安全地协商出一把一次性钥匙（会话密钥），之后所有的悄悄话都用这把钥匙来加密，又快又安全。

综上，HTTP协议作为互联网Web服务的基石，其发展历程清晰地反映了互联网技术的演进。从早期只能传输简单文本的无状态协议，经过不断的迭代，演变为如今性能优越、安全可靠、支持丰富多媒体内容的现代协议。尽管HTTP/3尚未全面普及，但其在弱网环境下展现出的巨大潜力，正推动着整个行业向下一代标准迈进。

欲进一步了解互联网中TCP/IP协议的请进入。