使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的
我们用apache的HttpClient这个库消费云端的Restful API时,一般都需要两次HTTP调用,第一次获得某种token,比如获取防止跨域请求伪造攻击Cross-site request forgery - CSRF的token,或者比如微信API的access token,第二次再进行真正的API消费。
通常情况下,第一次请求完毕后,服务器都会给客户端返回一些cookie字段,在第二次请求时,如果使用的是postman测试工具或者apache的HttpClient这个库,cookie字段都会自动被附加在第二次请求的HTTP头部。详情可以参考我写的另一篇博客:OData service parallel performance measurement – how to deal with XSRF token in Java Program and JMeter
https://blogs.sap.com/2017/08/28/odata-service-parallele-performance-measurement-how-to-deal-with-xsrf-token-in-java-program-and-jmeter/
本文就来介绍apache的HttpClient,在发送第二个Http请求时,是如何自动插入从第一个请求获得的服务器颁发的cookie的。
首先进入HttpClient的单步调试:InternalHttpClient.doExecute方法:
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8OIrWPeMJti5XMBZACQsFMMpGHH5DHQl3q0WaFTy34l8P-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
第85行的origheaders,即取出程序员在代码里指定的http请求头部字段,比如basic Authentication,content-type,token等等:
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8Da9G8qnCl2_4JFNTU1mons6Gq18P70jjpFdEvHdGqIIP-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
这个cookie是什么时候传进来的?
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8owBwoKcjJZ-cCjp1J7UVj3mwRV51ptITp1lvRHqjT6sP-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
看来我们必须进入httpcore-4.4.3.jar这个apache HttpClient的实现里去调试。
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8wpquO78oNoAB-j1_a6F8wLdNsSVyzPZDV8j0Bs942BEP-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
经过观察发现,一旦我执行完204行的conn.sendRequestHeader方法,就能观察到Cookie被自动设置了,所以奥妙就在第204行里。
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8bgvF_qARMBAnBDqmbykdNTCjuVMdkxkSze1Ou78jEmoP-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
自动添加Content-Length头部字段:
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8BkcIPrndPgQRMuRDTI2Tssv5_El_J88xOob5h9Lj0KAP-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
由此可见Content-length是通过方法entity.getContentLength()自动计算出来的,因此我们程序员不必在自己的应用代码里重复这个计算动作。
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8PAeXO-qb1O1447g9X-ODaaC6MuCEFnUvKA4KWdUHr94P-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
自动加入host字段:
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8UOHkOyI-PSnrxwjV3v-9dyI9HZbukmKJ5Fp8feYBS5oP-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
自动加入Connection: Keep-Alive
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8LHdRRLZ6FmY0BxPKHtM7FRj9mmilT_sMxBvegds8SiUP-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
UserAgent的自动填充:Apache-HttpClient/4.5.1, 这个也不用程序员操心。
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8uViZ6XEL9wLq2kH0tduUojNOkZvtm4y3ORMK2JVJ59UP-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
终于到了我要找的RequestAddCookies这个HTTPRequestInterceptor了。光从这个类的字面意思就能猜到它和HTTP请求的Cookie有关。
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8m9kGY57tCAnGw7M78EdCYZ2O94UvG0nsO1O_Xnd9EMoP-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
新建一个Cookie,这个CookieOrigin构造函数里的hpst,path和secure标志位都是Chrome开发者工具的Cookie标签页里能看到。
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8Flb4CETLoUkQStoqvJHEAhN92pox9RDQcsHIEEk-y4sP-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
从 Cookie Store里取出前一次请求中由服务器返回的Cookie:
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8DoSldn8Ln_epXRCMK3zrRSfi5C0JNw2ne-T3IZ_ypcsP-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8ZQ5DYQxRzXioBm7yyTPtgn-psrgKkepmL6qMK3izpm0P-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8fMttdmk0MDxikd9KqSKSDr8rJvBAxEY1s5i6WXSFOYEP-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
这里把Cookie store里的cookie加到第二个请求的头部字段,谜底就这样解开了。
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8tSadG5jGQssxU2ANHUW7PkE6tOaM4J_EiDC27-m2HboP-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
要获取更多Jerry的原创文章,请关注公众号"汪子熙":
![使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的 使用apache的HttpClient进行http通讯,隐藏的HTTP请求头部字段是如何自动被添加的](https://cdn.ancii.com/article/image/v1/V1/gl/_d/d_g1lVoFnaHF66uLvjLNgrNwLOlgxjAwTZLe7DAT3x2t904_cuYFw1FRoLgZPQB8Wrdv5kTdfHX83fvqpd9zD6piH3joXn7a0eb4Yoe5dHoP-PpFD76OUWGM57t7CEKQ7qC4HCdHZEnGUWeSsil818NOM-SYxbINt1Exa_4cYubMmE7PboFomS2ziSMb4EX7.jpg)
相关推荐
创建一个 HttpClient 实例,这个实例需要调用 Dispose 方法释放资源,这里使用了 using 语句。接着调用 GetAsync,给它传递要调用的方法的地址,向服务器发送 Get 请求。