探客时代

想象互联网是数百万台计算机之间的全球对话。为了让这种通信无噪音地工作，所有人都需要说同一种"语言"。这种Web的通用语言就是HTTP（超文本传输协议）。

正是多亏了它，您的浏览器才能加载这个页面，而您构建和消费的RESTful API才能以结构化和可预测的方式交换数据。

在本文中，我们将理解HTTP。我们将拆解它的消息，理解它的方法和状态码，并看看这一切如何通过ASP.NET Core的示例在实践中应用。目标是给您，开发者，构建更健壮、高效和安全系统所需的知识。

什么是HTTP？

HTTP（超文本传输协议）是应用层协议，作为万维网上数据交换的基础。虽然"超文本"这个名称让人想起Web的早期（链接和文档），但今天它被用于传输任何类型的数据：JSON、图像、视频等。

我们可以将协议想象成对话的规则集合。HTTP明确定义了这种对话应该如何发生在两个主要参与者之间：客户端和服务器。

客户端-服务器

HTTP通信遵循严格且单向的流程：

客户端发起请求：客户端（浏览器、您的C#应用程序，甚至是智能冰箱）总是发起通信，向服务器发送请求消息以请求资源或操作（例如："给我登录页面"或"创建这个新用户"）。

服务器发送响应：服务器（例如，您的ASP.NET Core API托管的地方）处理请求并返回响应消息，包含该请求的结果。服务器从不发起对话；它只是响应。

这种通信通过人类可读的文本消息进行（在HTTP/1.1中），并通过TCP（传输控制协议）可靠地传输，确保消息无错误且按正确顺序到达。

HTTP协议不仅限于浏览器，任何连接到网络的设备都可以使用它，如智能手机、汽车、冰箱、智能手表等。

无状态

HTTP最重要和定义性的特征之一是它是无状态的。这意味着每个请求都是一个完全独立的事件。服务器对同一客户端之前发出的请求没有任何记忆。

想象一个对话，您说的每一句话都需要重新介绍自己并再次提供所有上下文。这就是HTTP的工作方式。如果您在一个请求中登录，服务器在下一个请求中不会记住您。

虽然这看起来像是一个限制，但这种设计使系统更简单且可扩展。为了绕过这种"健忘症"并保持上下文（如登录用户），开发者使用以下策略：

授权令牌（JWT）：客户端在登录后收到一个"徽章"（令牌），并在每个未来请求中出示它以证明身份。

Cookie：服务器向客户端发送一个小数据（cookie）进行存储。然后，客户端在每次向该服务器发出新请求时都会发送相同的cookie，帮助"记住"过去的信息。

HTTP消息结构

客户端请求和服务器响应都遵循标准结构，由三个主要部分组成：起始行（Start-Line）、头部块（Headers）和可选的正文（Body）。让我们理解每一个。

请求（Request）

想象我们的C#应用程序需要通过API创建新用户。发送到服务器的HTTP消息将类似于：

POST /api/usuarios HTTP/1.1
Host: api.exemplo.com
Content-Type: application/json
Content-Length: 45
{"nome": "Usuario", "email": "user@exemplo.com"}

让我们分析结构：

起始行（Start-Line）： POST /api/usuarios HTTP/1.1

方法（动词）： POST。客户端希望执行的操作

URI（请求目标）： /api/usuarios。服务器上资源的路径

HTTP版本： HTTP/1.1。正在使用的协议版本

头部（Headers）：接下来的文本块，包含键值对（Host、Content-Type等），提供关于请求的重要元数据。

空行：注意存在一个空行分隔头部和消息正文。这不是可选的！正是这行向服务器发出头部结束和正文开始的信号。

正文（Body）： {"nome": "Usuario", ...}。这里是实际发送数据的地方。正文是可选的，通常与POST、PUT和PATCH等方法一起使用。

响应（Response）

如果用户成功创建，服务器可能用以下消息响应：

HTTP/1.1 201 Created
Date: Mon, 01 Jul 2024 10:00:00 GMT
Content-Type: application/json
Content-Length: 67
{"id": 123, "nome": "Usuario", "email": "user@exemplo.com"}

结构非常相似：

起始行（状态行）： HTTP/1.1 201 Created

HTTP版本： HTTP/1.1

状态码： 201。表示请求结果的数字

状态消息： Created。代码的简短文本描述

头部（Headers）：关于响应的元数据（Date、Content-Type等）

空行：分隔头部和正文

正文（Body）：创建或请求的资源，在这种情况下是新用户的JSON

头部

头部是HTTP中元数据的心脏。它们是键值对，其中键不区分大小写。以下是一些每个开发者都应该知道的最常见的头部：

Host：（请求）指定服务器的域名（如果不是默认端口，还包括端口）。对于服务器知道正在调用哪个网站或API至关重要。例如：Host: api.github.com

Authorization：（请求）提供在服务器上认证客户端的凭据。经常与Bearer Token模式一起使用来发送JWT。例如：Authorization: Bearer <token>

Accept：（请求）告诉服务器客户端能够理解哪些内容类型（MIME类型）。例如：Accept: application/json

Content-Type：（请求/响应）指示消息正文的媒体类型。例如：Content-Type: application/json; charset=utf-8

Content-Length：（请求/响应）消息正文的大小（字节）。例如：Content-Length: 1024

User-Agent：（请求）标识发出请求的客户端软件。例如：User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36

Cache-Control：（请求/响应）控制缓存行为。例如：Cache-Control: no-cache

HTTP方法（动词）

HTTP方法定义了客户端希望服务器对指定资源执行的操作类型。每个方法都有特定的语义和用途。

GET

用途：检索资源

幂等性：是

安全性：是（不修改服务器状态）

// ASP.NET Core 示例
[HttpGet("/api/usuarios/{id}")]
public async Task<IActionResult> GetUsuario(int id)
{
var usuario = await _usuarioService.GetByIdAsync(id);
if (usuario == null)
return NotFound();
return Ok(usuario);
}

POST

用途：创建新资源

幂等性：否

安全性：否

[HttpPost("/api/usuarios")]
public async Task<IActionResult> CreateUsuario([FromBody] CreateUsuarioDto dto)
{
var usuario = await _usuarioService.CreateAsync(dto);
return CreatedAtAction(nameof(GetUsuario), new { id = usuario.Id }, usuario);
}

PUT

用途：完全替换资源

幂等性：是

安全性：否

[HttpPut("/api/usuarios/{id}")]
public async Task<IActionResult> UpdateUsuario(int id, [FromBody] UpdateUsuarioDto dto)
{
var usuario = await _usuarioService.UpdateAsync(id, dto);
if (usuario == null)
return NotFound();
return Ok(usuario);
}

PATCH

用途：部分更新资源

幂等性：是

安全性：否

[HttpPatch("/api/usuarios/{id}")]
public async Task<IActionResult> PatchUsuario(int id, [FromBody] JsonPatchDocument<Usuario> patch)
{
var usuario = await _usuarioService.PatchAsync(id, patch);
if (usuario == null)
return NotFound();
return Ok(usuario);
}

DELETE

用途：删除资源

幂等性：是

安全性：否

[HttpDelete("/api/usuarios/{id}")]
public async Task<IActionResult> DeleteUsuario(int id)
{
var success = await _usuarioService.DeleteAsync(id);
if (!success)
return NotFound();
return NoContent();
}

HTTP状态码

状态码是服务器对请求结果的数字表示。它们分为五个类别：

1xx - 信息性响应

100 Continue：服务器已收到请求头，客户端应继续发送请求正文

101 Switching Protocols：服务器正在切换协议

2xx - 成功响应

200 OK：请求成功

201 Created：资源已成功创建

204 No Content：请求成功，但没有内容返回

3xx - 重定向

301 Moved Permanently：资源已永久移动到新位置

302 Found：资源临时移动到新位置

304 Not Modified：资源未修改，可以使用缓存的版本

4xx - 客户端错误

400 Bad Request：请求格式错误

401 Unauthorized：需要认证

403 Forbidden：服务器理解请求但拒绝授权

404 Not Found：请求的资源不存在

409 Conflict：请求与服务器当前状态冲突

5xx - 服务器错误

500 Internal Server Error：服务器遇到意外情况

502 Bad Gateway：网关或代理服务器收到无效响应

503 Service Unavailable：服务器暂时不可用

HTTP版本演进

HTTP/1.1

HTTP/1.1是当前最广泛使用的版本，引入了重要改进：

持久连接：多个请求可以共享同一个TCP连接

管道化：可以在收到响应之前发送多个请求

更好的缓存控制：更精细的缓存指令

HTTP/2

HTTP/2带来了重大性能改进：

多路复用：单个连接上的多个请求/响应流

头部压缩：使用HPACK压缩头部

服务器推送：服务器可以主动发送资源

二进制协议：更高效的解析

HTTP/3

HTTP/3是最新版本，基于QUIC协议：

基于UDP：减少连接建立时间

改进的拥塞控制：更好的网络性能

0-RTT连接恢复：更快的重新连接

HTTPS：安全的HTTP

HTTPS是HTTP的安全版本，通过TLS/SSL加密保护数据传输。

为什么HTTPS很重要？

数据加密：防止中间人攻击

身份验证：确保连接到正确的服务器

数据完整性：确保数据在传输过程中未被篡改

工作原理

握手过程：客户端和服务器协商加密参数

证书验证：验证服务器身份

密钥交换：建立加密密钥

加密通信：所有后续通信都被加密

实际应用示例

使用HttpClient发送请求

public class UsuarioService
{
private readonly HttpClient _httpClient;
public UsuarioService(HttpClient httpClient)
{
_httpClient = httpClient;
}
public async Task<Usuario> GetUsuarioAsync(int id)
{
var response = await _httpClient.GetAsync($"/api/usuarios/{id}");
if (response.IsSuccessStatusCode)
{
var content = await response.Content.ReadAsStringAsync();
return JsonSerializer.Deserialize<Usuario>(content);
}
throw new HttpRequestException($"HTTP {response.StatusCode}: {response.ReasonPhrase}");
}
public async Task<Usuario> CreateUsuarioAsync(CreateUsuarioDto dto)
{
var json = JsonSerializer.Serialize(dto);
var content = new StringContent(json, Encoding.UTF8, "application/json");
var response = await _httpClient.PostAsync("/api/usuarios", content);
if (response.IsSuccessStatusCode)
{
var responseContent = await response.Content.ReadAsStringAsync();
return JsonSerializer.Deserialize<Usuario>(responseContent);
}
throw new HttpRequestException($"HTTP {response.StatusCode}: {response.ReasonPhrase}");
}
}

配置HttpClient

// Program.cs
builder.Services.AddHttpClient<UsuarioService>(client =>
{
client.BaseAddress = new Uri("https://api.exemplo.com");
client.DefaultRequestHeaders.Add("User-Agent", "MeuApp/1.0");
client.Timeout = TimeSpan.FromSeconds(30);
});

最佳实践

1. 使用适当的HTTP方法

使用GET检索数据

使用POST创建新资源

使用PUT完全替换资源

使用PATCH部分更新资源

使用DELETE删除资源

2. 正确处理状态码

返回适当的状态码

提供有意义的错误消息

使用标准状态码而不是自定义代码

3. 实现适当的缓存

使用ETag和Last-Modified头部

设置适当的Cache-Control指令

考虑使用条件请求

4. 安全性考虑

始终使用HTTPS

验证和清理输入

实现适当的认证和授权

使用CORS正确配置跨域请求

5. 性能优化

使用HTTP/2或HTTP/3

压缩响应

实现适当的缓存策略

考虑使用CDN

为什么掌握HTTP至关重要？

在本文中，我们深入探讨了Web和API的支柱。我们拆解了HTTP，逐件分析，不是作为一个抽象的缩写，而是作为让我们的系统进行对话的活语言。我们看到了其消息的结构、动词和状态码的语法、其向HTTP/2和HTTP/3演进的性能追求，以及HTTPS提供的不可或缺的安全盔甲。

在这里，我们回答了核心问题：为什么开发者应该如此关心这个？

因为HTTP已经超越了浏览器。今天，它是几乎所有现代软件架构的基础：从连接微服务的RESTful API，到消费云数据的移动应用程序，再到向服务器发送状态的IoT设备。深入理解HTTP是仅仅使用ASP.NET Core等框架与真正知道引擎盖下发生了什么之间的区别。它使您能够更智能地调试问题，优化请求性能，并构建不仅功能强大，而且安全、高效和可预测的API。

当然，虽然HTTP是Web舞台上的主角，但它是更广泛的协议生态系统的一部分，每个协议都有专门的用途：

FTP（文件传输协议）：顾名思义，它针对客户端和服务器之间的文件传输进行了优化

SMTP（简单邮件传输协议）：通过互联网发送电子邮件的标准协议

SSH（安全外壳）：用于以安全方式管理和在远程服务器上执行命令

P2P（点对点）等模型：提供去中心化架构，参与者直接通信，与HTTP的集中式客户端-服务器模型形成对比

认识这些其他协议给了我们视角。它表明，对于每种类型的通信问题，都有专门设计的最佳解决方案工具。

然而，对于您，构建连接服务和应用程序未来的开发者，HTTP将继续是您的主要活动领域。掌握它不仅仅是一个差异化因素；它是构建弹性和高性能系统的坚实基础。它是赋予您每天创建的应用程序生命的无形但至关重要的流程。

参考资料

重要文档

MDN Web Docs关于HTTP：开发者理解HTTP所有方面的最佳和最完整的门户，从基本概念到头部和状态码列表

Cloudflare学习中心：关于网络和安全概念的清晰易懂的解释，包括SSL和TLS之间的区别

对于.NET开发者

Microsoft Docs：使用ASP.NET Core创建Web API： Microsoft的官方教程，开始构建RESTful API

Microsoft Docs：使用HttpClient进行HTTP请求：关于HttpClient类的官方文档，包含示例和最佳实践

文章和深入指南

Alura课程 - HTTP：理解Web的幕后：提供HTTP协议坚实基础的中文课程

DevMedia - HTTP Headers：关于主要HTTP头部的实用指南

高级阅读

对于想要直接了解源头的人，RFC（征求意见）是标准化互联网协议的文档。阅读很密集和技术性，但这是权威规范。

RFC 7231 - HTTP/1.1：语义和内容

RFC 9113 - HTTP/2

RFC 9114 - HTTP/3

探客时代

深入理解HTTP：Web和API背后的协议