Linux：Day21(下) http协议进阶

http协议和httpd的配置

　　URL：Uniform Resource Locator

　　　　URL方案：scheme

　　　　服务器地址：ip:port

　　　　资源路径；

　　　　基本语法：

　　　　　　　　params：参数

　　　　　　　　　　http://www.magedu.com/bbs/hello;gender=f

　　　　　　　　query：

　　　　　　　　　　http://www.magedu.com/bbs/item.php?username=tom&title=abc

　　　　　　　　frag：

　　　　相对URL

　　　　绝对URL

　　http协议：

　　　　http协议：stateless

　　　　　　服务器无法持续追踪访问者来源

　　　　　　　　cookie，session

　　　　http事务：

　　　　　　请求：request

　　　　　　响应：response

　　　　　　报文语法格式：

　　　　　　　　request报文

　　　　　　　　　　<entity-body>

　　　　　　　　response报文

　　　　　　　　　　<entity-body>

　　　　　　　　method：请求方法，标明客户端希望服务器对资源执行的动作

　　　　　　　　　　GET、HEAD、POST

　　　　　　　　version：

　　　　　　　　　　HTTP/<major>.<minor>

　　　　　　　　status：

　　　　　　　　　　三位数字，如200，301，302，404，502；标记请求处理过程中发生的情况；

　　　　　　　　reason-phrase：

　　　　　　　　　　状态码所标记的状态的简要描述；

　　　　　　　　headers：

　　　　　　　　　　每个请求或响应报文可包含任意个首部，每个首部都有首部名称，后面跟一个冒号，而后跟上一个可选空格，接着是一个值；

　　　　　　　　entity-body：请求时附加的数据或响应时附加的数据；

　　　　　　method(方法)：

　　　　　　　　GET：从服务器获取一个资源；

　　　　　　　　HEAD：只从服务器获取文档的响应首部；

　　　　　　　　POST：向服务器发送要处理的数据；

　　　　　　　　PUT：将请求主体部分存储在服务器上；

　　　　　　　　DELETE：请求删除服务器上指定的文档；

　　　　　　　　TRACE：追踪请求到达服务器中间经过的代理服务器；

　　　　　　　　OPTIONS：请求服务器返回对指定资源支持使用的请求方法；

　　　　　　　　协议查看或分析的工具：

　　　　　　　　　　tcpdump，tshark，wireshark

　　　　　　status（状态码）：

　　　　　　　　1xx：100-101，信息提示；

　　　　　　　　2xx：200-206，成功类信息

　　　　　　　　3xx：300-305，重定向

　　　　　　　　4xx：400-415，错误类信息，客户端错误

　　　　　　　　5xx：500-505，错误类信息，服务器端错误

　　　　　　　　常用的状态码：

　　　　　　　　　　200：成功，请求的所有数据通过响应报文的entity-body部分发送；OK

　　　　　　　　　　301：请求的URL指向的资源已经被删除；但在响应报文中通过首部Location指明了资源现在所处的新位置；

　　　　　　　　　　302：与301相似，但在响应报文中通过Location指明资源现在所处临时新位置；Found

　　　　　　　　　　304：客户端发出了条件式请求，但服务器上的资源未曾发性改变，则通过响应此响应状态码通知客户端；Not Modified

　　　　　　　　　　401：需要输入账号和密码认证方能访问资源；Unauthorized

　　　　　　　　　　403：请求被禁止；Forbidden　　

　　　　　　　　　　404：服务器无法找到客户端请求的资源；Not Found

　　　　　　　　　　500：服务器内部错误；Internal Server Error

　　　　　　　　　　502：代理服务器从后端服务器收到一条伪响应；Bad Gateway

　　　　　　　　首部的分类：

　　　　　　　　　　通用首部

　　　　　　　　　　请求首部

　　　　　　　　　　响应首部

　　　　　　　　　　实体首部

　　　　　　　　　　扩展首部

　　　　　　　　　　通用首部：

　　　　　　　　　　　　Date：报文的创建时间

　　　　　　　　　　　　Connection：连接状态，如keep-alive，close

　　　　　　　　　　　　Via：显示报文经过的中间节点

　　　　　　　　　　　　Cache-Control：控制缓存

　　　　　　　　　　　　Pragma：

　　　　　　　　　　请求首部：

　　　　　　　　　　　　Accept：通知服务器自己可接受的媒体类型；

　　　　　　　　　　　　Accept-Charset：

　　　　　　　　　　　　Accept-Encoding：接受编码格式，如gzip

　　　　　　　　　　　　Accept-Language：接受的语言

　　　　　　　　　　　　Client-IP：

　　　　　　　　　　　　Host：请求的服务器名称和端口号

　　　　　　　　　　　　Referer：包含当前正在请求的资源的上一级资源；

　　　　　　　　　　　　Uer-Agent：客户端代理

　　　　　　　　　　　　条件式请求首部：

　　　　　　　　　　　　　　Expect：

　　　　　　　　　　　　　　If-Modified-Since：自从指定的时间之后，请求的资源是否发生过修改；

　　　　　　　　　　　　　　If-Unmodified-Since：

　　　　　　　　　　　　　　If-None-Match：本地缓存中存储的文档的ETag标签是否与服务器文档的Etag不匹配；

　　　　　　　　　　　　　　If-Match：

　　　　　　　　　　　　安全请求首部：

　　　　　　　　　　　　　　Authorization：向服务器发送认证信息，如账号和密码；

　　　　　　　　　　　　　　Cookie：客户端向服务器发送cookie

　　　　　　　　　　　　　　Cookie2：

　　　　　　　　　　　　代理请求首部：

　　　　　　　　　　　　　　Proxy-Authorization：向代理服务器认证

　　　　　　　　　　响应首部：

　　　　　　　　　　　　信息性：

　　　　　　　　　　　　　　Age：响应持续时长

　　　　　　　　　　　　　　Server：服务器程序软件名称和版本

　　　　　　　　　　　　协商首部：某资源有多种表示方法时使用

　　　　　　　　　　　　　　Accept-Ranges：服务器可接受的请求范围类型

　　　　　　　　　　　　　　Vary：服务器查看的其它首部列表；

　　　　　　　　　　　　安全响应首部：

　　　　　　　　　　　　　　Set-Cookie：向客户设备cookie

　　　　　　　　　　　　　　Set-Cookie2：

　　　　　　　　　　　　　　WWW-Authenticate：来自服务器的对客户端的质询认证表彰

　　　　　　　　　　实体首部：

　　　　　　　　　　　　Allow：列出对此实体可使用的请求方法

　　　　　　　　　　　　Location：告诉客户端真正的实体位于何处

　　　　　　　　　　　　Content-Encoding：

　　　　　　　　　　　　Content-Language：

　　　　　　　　　　　　Content-Length：主体的长度

　　　　　　　　　　　　Content-Locaion：实体真正所处位置；

　　　　　　　　　　　　Content-Type：主体的对象类型；

　　　　　　　　　　　　缓存相关：

　　　　　　　　　　　　　　ETag：实体的扩展标签；

　　　　　　　　　　　　　　Expires：实体的过期时间；

　　　　　　　　　　　　　　Last-Modified：最后一次修改的时间

15、curl命令：

　　curl [options] [URL...]

　　crul的常用选项：

　　　　-A/--user-agent <string> 设置用户代理发送给服务器

　　　　-e/--referer <URL> 来源网址

　　　　--compressed 要求返回是压缩的格式

　　　　-H/--header <line> 自定义头信息传递给服务器

　　　　-I/--head 只显示响应报文首部信息

另一个工具：elinks

　　elinks [OPTIONS] ... [URL...]

　　　　-dump：不进入交互式模式，而直接将URL的内容输出至标准输出；

16、使用mod_deflate模块压缩页面优化传输速度

　　适用场景：

　　　　(1) 节约带宽，额外消耗CPU；同时，可能有些较老浏览器不支持；

　　　　(2) 压缩适于压缩的资源，例如文本文件；

　　SetOutputFilter DEFLATE

　　# mod_deflate configuration

17、https

　　http over ssl = https 443/tcp

　　　　ssl：v3

　　　　tls：v1

　　SSL会话的简化过程

　　　　(1) 客户端发送可供选择的加密方式，并向服务器请求证书；

　　　　(2) 服务器端发送证书以及选定的加密方式给客户端；

　　　　(3) 客户端取得证书并进行证书验证；

　　　　　　如果信任给其发证书的CA：

　　　　　　　　(a) 验证证书来源的合法性；用CA的公钥解密证书上数字签名；

　　　　　　　　(b) 验证证书的内容的合法性；完整性验证；

　　　　　　　　(d) 检查证书是否被吊销；

　　　　　　　　(e) 证书中拥有者的名字，与访问的目标主机要一致；

　　　　(4) 客户端生成临时会话密钥（对称密钥），并使用服务器端的公钥加密此数据发送给服务器，完成密钥交换；

　　　　(5) 服务用此密钥加密用户请求的资源，响应给客户端；

　　　　注意：SSL会话是基于IP地址创建；所以单IP的主机上，仅可以使用一个https虚拟主机；

　　回顾几个术语：PKI，CA，CRL，X.509（v1,v2,v3）

　　配置httpd支持https：

　　　　(1) 为服务器申请数字证书；

　　　　　　测试：通过私建CA发证书

　　　　　　　　(a) 创建私有CA

　　　　　　　　(b) 在服务器创建证书签署请求

　　　　(2) 配置httpd支持使用ssl，及使用的证书；

　　　　　　# yum -y install mod_ssl

　　　　　　配置文件：/etc/httpd/conf.d/ssl.conf

　　　　　　　　DocumentRoot

　　　　　　　　ServerName

　　　　　　　　SSLCertificateFile

　　　　　　　　SSLCertificateKeyFile

　　　　(3) 测试基于https访问相应的主机；

　　　　　　# openssl s_client [-connect host:port] [-cert filename] [-CApath directory] [-CAfile filename]

18、httpd自带的工具程序

　　htpasswd：basic认证基于文件实现时，用到的账号密码文件生成工具；

　　apachectl：httpd自带的服务控制脚本，支持start，stop；

　　apxs：由httpd-devel包提供的，扩展httpd使用第三方模块的工具；

　　rotatelogs：日志滚动工具；

　　　　access.log -->

　　　　access.log，access.1.log

　　　　access.log，access.1.log，access.2.log

　　suexec：

　　　　访问某些有特殊权限配置的资源时，临时切换至指定用户运行；

　　ab：apache benchmark

19、http压力测试工具

　　webbench

　　http_load

　　jmeter

　　loadrunner

　　tcpcopy

　　ab [OPTIONS] URL

　　　　-n：总的请求数

　　　　-c：模拟的并发数

　　　　-k：以持久连接模式测试

　　ulimit -n #：调整当前用户所同时打开的文件数；

练习题：

1、建立httpd服务器（基于编译的方式进行），要求：

　　提供两个基于名称的虚拟主机：

　　　　(a) www1.stuX.com，页面文件目录为/web/vhosts/www1；错误日志为/var/log/httpd/www1.err，访问日志为/var/log/httpd/www1.access；

　　　　(b) www2.stuX.com，页面文件目录为/web/vhosts/www2；错误日志为/var/log/httpd/www2.err，访问日志为/var/log/httpd/www2.access；

　　　　(d) 通过www1.stuX.com/server-status输出httpd工作状态相关信息，且只允许提供账号密码才能访问（status：status）；

2、为上面的第2个虚拟主机提供https服务，使得用户可以通过https安全的访问此web站点；

　　(1) 要求使用证书认证，证书中要求使用的国家(CN)、州(HA)、城市(ZZ)和组织(MageEdu)；