# Chapter 2: HTTP

## Теория

**Общее про HTTP**
- Существующие версии 1.0 и 1.1
- Человекочитаемый
- Нет шифрования 
- Не хранит состояния (т.е. не помнит предыдущие запросы)

**HTTP методы:**
- `GET` - запрос содержимого. Не должно менять состояние информацинонной системы (ИС).
- `POST` - передача параметров. Меняет состояние ИС.
- `HEAD` - только заголовки, без тела. Упрощенный вариант GET.
- `PUT` - загрузить содержимое. Что происходит с загруженным определяется на самом сервере.
- `DELETE` - удалить ресурс.

**HTTP коды ответов:**
- `1XX` - Informational. Т.е. ответ - это некоторое информатичное сообщение, но не сам результат запроса.
- `2XX` - Success. Например, `200 OK` - запрос удовлетворен.
- `3XX` - Redirection. Например, запрашиваемая страница могла моменять сервер, и теперь все запросы перенаправляются на новый IP.
- `4XX` - Client Error. Например, `404 not found` - ищем файл, который не существует.
- `5XX` - Server Error.

### Пример общения браузера и сервера 

[Источник](http://samag.ru/archive/article/1631)

Когда пользователь впервые пытается получить защищённый документ, щёлкнув мышкой по ссылке, по кнопке в форме или просто набрав URL, браузер (клиент) посылает на сервер самый обычный запрос. Это неудивительно – браузер пока не знает, что доступ к этому документу ограничен. Заголовки HTTP-запроса могут выглядеть приблизительно так:


```
GET / HTTP/1.1

Host: 127.0.0.1:8080

User-Agent: Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.7)

Gecko/20041016 Firefox/0.9.3

Accept: text/xml,application/xml,application/xhtml+xml,text/html;

q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5

Accept-Language: en-us,en;q=0.7,ru;q=0.3

Accept-Encoding: gzip,deflate

Accept-Charset: KOI8-R,utf-8;q=0.7,*;q=0.7

Keep-Alive: 300

Connection: keep-alive
```
---


- Это `GET` запрос через протоко HTTP версии 1.1
- `Host: 127.0.0.1:8080` - задан IP сервера и порт (`8080`).
- `Accept` - виды файлов принимаемых клиентом. А так же языки и кодировки.
- `Connection: keep-alive` - держать канал связи синхронизированным, т.е. постоянно посылать друг другу пакеты проверяющие не случился ли разрыв связи.

Но сервер возвращает не обычный ответ с кодом 200 (200 означает, что запрос обработан успешно, ответ отправлен), а сообщение о том, что для получения доступа требуется авторизоваться. Вот возможный набор заголовков ответа:

```
HTTP/1.1 401 Authorization Required

Date: Tue, 01 Mar 2005 11:30:10 GMT

Server: Apache/1.3.33 (Unix)

WWW-Authenticate: Basic realm="How about authorization?"

Connection: close

Content-Type: text/html; charset=iso-8859-1
```

Необычным в нём является статус (первая строка), который равен не 200, как при «нормальном» ответе, а 401. Также в нём имеется поле WWW-Authenticate, сообщающее браузеру детали: авторизация будет проходить по Basic-сценарию, пользователю рекомендуется сообщить указанную фразу. Вслед за этими заголовками передаётся тело документа (документ - всплывающее сообщение о том, что доступ закрыт, которое браузер пока не отображает, а выдаёт диалоговое окно с просьбой ввести имя и пароль.     

Если пользователь откажется от ввода пароля, нажав кнопку «Отмена», то браузер отображает тело полученного документа. Очень широко распространено заблуждение, что в ответ на отказ от ввода пароля (или после ввода неверного имени/пароля) сервер высылает документ с сообщением об ошибке 401. Это не так! Сервер высылает сообщение 401 всегда, когда запрашивает пароль. Когда пользователь нажимает «Отмена», браузер вообще не обращается к серверу – необходимый документ уже загружен, его осталось только показать пользователю.

Если пользователь ввёл имя и пароль, то сразу после нажатия кнопки «ОК» браузер отправляет эту информацию на сервер в новом запросе, заголовок которого будет примерно таким:

```

GET /paper/1.html HTTP/1.1

Host: localhost:8080

User-Agent: Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.7)

Gecko/20041016 Firefox/0.9.3

Accept: text/xml,application/xml,application/xhtml+xml,text/html;

q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5

Accept-Language: en-us,en;q=0.7,ru;q=0.3

Accept-Encoding: gzip,deflate

Accept-Charset: KOI8-R,utf-8;q=0.7,*;q=0.7

Keep-Alive: 300

Connection: keep-alive

Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l
```

- `Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l` - авторизация по `Basic` принципу никак не защиена. Она закодирована методом base64 (RFC 2045), который однозначно переводится в реальный логин и пароль. Тут логин и пароль декодируется так:  `YWxhZGRpbjpvcGVuc2VzYW1l` -> `aladdin:opensesame`. 

Если имя и пароль удовлетворят сервер, то пользователь получит требуемый документ. Набор заголовков ответа будет выглядеть как обычно:
```
HTTP/1.1 200 OK

Date: Tue, 01 Mar 2005 11:41:36 GMT

Server: Apache/1.3.33 (Unix)

Last-Modified: Tue, 01 Mar 2005 11:22:32 GMT

ETag: "4e598b-33-42245078"

Accept-Ranges: bytes

Content-Length: 51

Connection: close

Content-Type: text/html; charset=koi8-r
```

Если пара имя/пароль не верна, то сервер просто снова выдаст документ-запрос 401, повторно инициируя диалог браузера с пользователем.       

Процесс авторизации прошёл успешно, но обратите внимание на то, что в результате не была открыта сессия. Иллюзию непрерывной сессии создаёт браузер, *который фактически авторизуется при каждом запросе*. 