注册
登录
提问时间:2019/1/9 15:48:38    楼主:未知网友   阅读量:207

一、首先是关于HTTPS的

请求通过POST的方式经过HTTPS协议发送到服务器端。HTTPS本身并非协议,而是标准的HTTP协议架在SSL/TLS协议之上的一种结构。由于HTTP协议是基于TCP/IP进行通讯的,所以HTTPS必须暴露IP和端口,这部分不加密。

HTTPS需要在服务器端生成私钥,我们服务器端用的RSA算法加密哒。然后创建签名请求的证书,然后可以去CA授权或者自己签发证书,最后将证书配置到nginx里。因为服务器上HTTPS是我配的,所以我会把这部分详细的讲出来。

HTTPS在传输数据前需要客户端与服务端进行一次握手,在握手过程中将确立双方加密传输数据的密码信息。握手的时候才用非对称加密和HASH算法,握手后数据的传输才用对称加密。

握手过程如下:

1. 浏览器将自己支持的一套加密规则发送给网站。

2. 网站从中选出一组加密算法与HASH算法,并将自己的身份信息用证书的形式发送给浏览器。证书里包含了网站地址,加密公约,以及证书的颁发机构等信息。

3. 获得网站证书之后浏览器要做以下工作:

a) 验证证书的合法性(盘发证书的机构是否合法,是否过期,证书中包含的网站地址是否与正在访问的地址一致等),如果证书受信任,则浏览器栏里面会显示一个小锁头,否则会给出证书不受信任的提示。一般的浏览器对于自己签发的证书都会给不收信息的提示。

b) 如果证书受信任,或者用户接受了不受信任的证书,浏览器会生成一串随机数的密码,用最开始约定好的HASH方式,把握手消息取HASH值,然后用用证书中提供的公钥加密”握手消息+握手消息HASH值”发送给服务端。

c) 服务端拿到客户端传来的密码,用自己的私钥来解密握手消息取出随机数密码,再用随机数密码解密握手消息与HASH值,并与传过来的HASH值做对比确认是否一致。然后服务端自己也生成一个随机密码加密一段握手消息(握手消息+握手消息的HASH值)给客户端。

d) 客户端用随机数解密并计算握手消息的HASH,如果与服务端发来的HASH一致,此时握手过程结束,之后的所有通信数据将有之前浏览器和服务器生成的随机码生成的一个新的随机密码并利用对称加密算法进行加密。利用客户端和服务端的随机码来生成数据传输的随机码是为了防止写死的假随机码带来的安全隐患,使用对称加密是因为对称加密的加密加密过程比非对称快得多。

常用的非对称加密算法有: RSA,DSA/DSS; 对称加密算法有: AES,RC4,3DES; HASH算法:MD5,SHA1,SHA256。

二、然后是关于DNS的

请求会访问我们公司云存储那边的DNS(Domain Name System, 域名系统),这是因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过域名或主机名,最终得到该域名或主机名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上,使用端口号53。DNS会有一些策略将静态的东西直接返回给浏览器,只有动态部分才继续向后面传递。发生过测试人员在同一台机器上在不同的浏览器上用不同用户登录,结果刷新页面看到用户变了的奇怪现象,是DNS策略造成的(不负责这一块,不赘述)。

三、WEB应用服务

WEB应用服务总体采用SOA架构。分成WEB前端,后台服务,API服务,共同模块和代理接口模块。

WEB前端是返回页面的,API服务是PC,手机各端都用到的共同接口。后台服务通过代理接口模块来和API服务及WEB前端服务进行通信。代理接口里含有传递消息的可序列化POJO。共同模块含有一些公共方法。

请求根据nginx提供的IP和端口找到服务器上对应的WEB前端服务。我们服务器上部署的是resin。我们的WEB 服务采用的是SpringMVC框架。SpringMVC的实现原理和核心思想老掉牙了,略过。不过spring作为一个久经考验的框架,里面用到了几乎所有的设计模式,是应该好好总结一下的。

Resin WEB应用中除了SpringMVC还有一些细小的逻辑,如一般会配置utf8编码器,logback监听器,guava限流。请求经过Spring加载上下文,上下文可以使用类加载,配置文件加载等多种方式(策略模式)。加载后我们调用的只是ApplicationContext(门面模式),当然它同时也是一个Bean工厂(工厂模式)。DispatcherServlet将请求映射到处理器。我看过DispatcherServlet的源码,在初始化策略的时候,还支持多种类型的处理器(适配器模式)。处理器要经过拦截器对请求的用户身份等进行校验,校验不通过直接返回错误,校验通过找到对应的controller然后就开始进行参数校验。

校验不成功返回错误码。成功后HttpClient调用采用了Restful架构的视频资源系统进行内容创建。创建不成够返回错误码。成功则需要在数据库插入一条记录。调用DUBBO后台服务,服务的service层调用couchbase缓存取出当前记录是否存在,不存在则调用mybatis持久层框架到mysql数据库进行操作。操作成功后httpclient调用Restful架构的云存储那边返回视频上传初始化参数。结果回到controller里包装成ModelAndView对象,再经过拦截器注入一些session参数。因为http协议是无状态的,现在的系统又都是分布式的,不支持session,所以每次都需要在拦截器里将参数再塞入进去。然后原路返回响应。客户端收到响应后断开连接。因为http请求是无连接的。