微信小程序
微信小程序
确保数据到达目标:三次 🤝(three-way handshaking) TCP 的 flag:SYN(synchronize)和 ACK(acknowledgement)
http/1.0
Connection: keep-alive
。Host: mp.weixin.qq.com
SPDY 协议:2009 年,谷歌公开了自行研发的 SPDY 协议,主要解决 HTTP/1.1 效率不高的问题。这个协议在 Chrome 浏览器上证明可行以后,就被当作 HTTP/2 的基础
Access-Control-Allow-Credentials:可选,是否允许发送 Cookie。如果要把 Cookie 发到服务器,一方面要服务器同意,指定 Access-Control-Allow-Credentials 字段。Access-Control-Allow-Credentials: true
;另一方面,开发者必须在 AJAX 请求中打开 withCredentials 属性。var xhr = new XMLHttpRequest();xhr.withCredentials = true;
⚠️:如果要发送 Cookie,Access-Control-Allow-Origin 就不能设为星号,必须指定明确的、与请求网页一致的域名。同时,Cookie 依然遵循同源政策,只有用服务器域名设置的 Cookie 才会上传,其他域名的 Cookie 并不会上传,且(跨源)原网页代码中的 document.cookie 也无法读取服务器域名下的 Cookie
OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT //CORS请求会用到哪些HTTP方法
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com // 浏览器CORS请求会额外发送的头信息字段
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com //同意跨源的url
Access-Control-Allow-Methods: GET, POST, PUT //服务器支持的所有跨域请求的方法
Access-Control-Allow-Headers: X-Custom-Header //服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段
Access-Control-Max-Age :3600 //本次预检请求的有效期,单位为秒。
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain
REST(REpresentational State Transfer)这个概念,首次出现是在 2000 年 Roy Thomas Fielding(他是 HTTP 规范的主要编写者之一)的博士论文中,它指的是一组架构约束条件和原则。满足这些约束条件和原则的应用程序或设计就是 RESTful 的。
简单地理解就是@Ivony 老师:URL 定位资源,用 HTTP 动词(GET,POST,DELETE,DETC)描述操作。
要理解什么是 REST,我们需要理解下面几个概念:
资源(Resources) REST 是”表现层状态转化”,其实它省略了主语。”表现层”其实指的是”资源”的”表现层”。
那么什么是资源呢?就是我们平常上网访问的一张图片、一个文档、一个视频等。这些资源我们通过 URI 来定位,也就是一个 URI 表示一个资源。
表现层(Representation)
资源是做一个具体的实体信息,他可以有多种的展现方式。而把实体展现出来就是表现层,例如一个 txt 文本信息,他可以输出成 html、json、xml 等格式,一个图片他可以 jpg、png 等方式展现,这个就是表现层的意思。
URI 确定一个资源,但是如何确定它的具体表现形式呢?应该在 HTTP 请求的头信息中用 Accept 和 Content-Type 字段指定,这两个字段才是对”表现层”的描述。
状态转化(State Transfer)
访问一个网站,就代表了客户端和服务器的一个互动过程。在这个过程中,肯定涉及到数据和状态的变化。而 HTTP 协议是无状态的,那么这些状态肯定保存在服务器端,所以如果客户端想要通知服务器端改变数据和状态的变化,肯定要通过某种方式来通知它。
客户端能通知服务器端的手段,只能是 HTTP 协议。具体来说,就是 HTTP 协议里面,四个表示操作方式的动词:GET、POST、PUT、DELETE。它们分别对应四种基本操作:GET 用来获取资源,POST 用来新建资源(也可以用于更新资源),PUT 用来更新资源,DELETE 用来删除资源。
综合上面的解释,我们总结一下什么是 RESTful 架构:
Web 应用要满足 REST 最重要的原则是:客户端和服务器之间的交互在请求之间是无状态的,即从客户端到服务器的每个请求都必须包含理解请求所必需的信息。如果服务器在请求之间的任何时间点重启,客户端不会得到通知。此外此请求可以由任何可用服务器回答,这十分适合云计算之类的环境。因为是无状态的,所以客户端可以缓存数据以改进性能。
另一个重要的 REST 原则是系统分层,这表示组件无法了解除了与它直接交互的层次以外的组件。通过将系统知识限制在单个层,可以限制整个系统的复杂性,从而促进了底层的独立性。
下图即是 REST 的架构图:
图 8.5 REST 架构图
当 REST 架构的约束条件作为一个整体应用时,将生成一个可以扩展到大量客户端的应用程序。它还降低了客户端和服务器之间的交互延迟。统一界面简化了整个系统架构,改进了子系统之间交互的可见性。REST 简化了客户端和服务器的实现,而且对于使用 REST 开发的应用程序更加容易扩展。
下图展示了 REST 的扩展性:
图 8.6 REST 的扩展性
Go 没有为 REST 提供直接支持,但是因为 RESTful 是基于 HTTP 协议实现的,所以我们可以利用net/http
包来自己实现,当然需要针对 REST 做一些改造,REST 是根据不同的 method 来处理相应的资源,目前已经存在的很多自称是 REST 的应用,其实并没有真正的实现 REST,我暂且把这些应用根据实现的 method 分成几个级别,请看下图:
图 8.7 REST 的 level 分级
上图展示了我们目前实现 REST 的三个 level,我们在应用开发的时候也不一定全部按照 RESTful 的规则全部实现他的方式,因为有些时候完全按照 RESTful 的方式未必是可行的,RESTful 服务充分利用每一个 HTTP 方法,包括DELETE
和PUT
。可有时,HTTP 客户端只能发出GET
和POST
请求:
HTML 标准只能通过链接和表单支持GET
和POST
。在没有 Ajax 支持的网页浏览器中不能发出PUT
或DELETE
命令
有些防火墙会挡住 HTTP PUT
和DELETE
请求,要绕过这个限制,客户端需要把实际的PUT
和DELETE
请求通过 POST 请求穿透过来。RESTful 服务则要负责在收到的 POST 请求中找到原始的 HTTP 方法并还原。
我们现在可以通过POST
里面增加隐藏字段_method
这种方式可以来模拟PUT
、DELETE
等方式,但是服务器端需要做转换。我现在的项目里面就按照这种方式来做的 REST 接口。当然 Go 语言里面完全按照 RESTful 来实现是很容易的,我们通过下面的例子来说明如何实现 RESTful 的应用设计。
TODO:
第一步,爱丽丝给出协议版本号、一个客户端生成的随机数(Client random),以及客户端支持的加密方法。
第二步,鲍勃确认双方使用的加密方法,并给出数字证书、以及一个服务器生成的随机数(Server random)。
第三步,爱丽丝确认数字证书有效,然后生成一个新的随机数(Premaster secret),并使用数字证书中的公钥,加密这个随机数,发给鲍勃。
第四步,鲍勃使用自己的私钥,获取爱丽丝发来的随机数(即 Premaster secret)。
第五步,爱丽丝和鲍勃根据约定的加密方法,使用前面的三个随机数,生成”对话密钥”(session key),用来加密接下来的整个对话过程。
<!-- 改法一 -->
<script src="https://foo.com/jquery.js"></script>
<!-- 改法二:根据当前网页的协议,加载相同协议的外部资源,更灵活一些 -->
<script src="//foo.com/jquery.js"></script>
Set-Cookie: LSID=DQAAAK...Eaem_vYg; Secure
Leave a Comment