14 Funktionsweise des HTTP-Protokolls

14.1 Einführung

Das Hypertext Transfer Protocol (HTTP) ist das Rückgrat der Kommunikation im World Wide Web. Es definiert, wie Nachrichten zwischen Clients und Servern ausgetauscht werden, und legt die Regeln für die Struktur und den Ablauf dieser Kommunikation fest. Ein tiefes Verständnis der HTTP-Funktionsweise ist essenziell für die Entwicklung effizienter und zuverlässiger Webanwendungen und APIs mit Spring Boot.

14.2 Grundlegende Architektur von HTTP

HTTP basiert auf einem einfachen Client-Server-Modell, bei dem der Client Anfragen stellt und der Server darauf reagiert. Dieses Modell ist zustandslos, was bedeutet, dass jede Anfrage unabhängig von vorherigen Anfragen behandelt wird.

14.3 Komponenten des HTTP-Modells

1. Client
   • Initiator der Kommunikation, typischerweise ein Webbrowser, eine mobile App oder ein anderer Dienst, der HTTP-Anfragen sendet.
2. Server
   • Empfänger der Anfragen und Verantwortlicher für die Verarbeitung und Beantwortung dieser Anfragen. Server können einfache Webserver oder komplexe Anwendungsserver sein.
3. Nachricht
   • Die Kommunikation erfolgt durch das Senden von HTTP-Nachrichten, die aus Anfragen und Antworten bestehen.

14.4 HTTP-Anfragen

Eine HTTP-Anfrage besteht aus mehreren Teilen:

1. Anfragezeile (Request Line)

   • Enthält die HTTP-Methode, die URI der Ressource und die HTTP-Version.

   • Beispiel:

     GET /api/books/1 HTTP/1.1

2. Header

   • Zusätzliche Metadaten zur Anfrage, wie Host, Content-Type, Authorization usw.

   • Beispiel:

     Host: localhost:8080
     Accept: application/json
     Authorization: Bearer <token>

3. Nachrichtentext (Body)

   • Optional und enthält Daten, die mit der Anfrage gesendet werden, z. B. JSON-Daten bei POST- oder PUT-Anfragen.

   • Beispiel:

     {
       "title": "Spring Boot in Action",
       "author": "Craig Walls"
     }

14.5 HTTP-Antworten

Eine HTTP-Antwort vom Server enthält ebenfalls mehrere Teile:

1. Statuszeile (Status Line)

   • Enthält die HTTP-Version, einen Statuscode und eine Statusmeldung.

   • Beispiel:

     HTTP/1.1 200 OK

2. Header

   • Zusätzliche Metadaten zur Antwort, wie Content-Type, Content-Length, Set-Cookie usw.

   • Beispiel:

     Content-Type: application/json

3. Nachrichtentext (Body)

   • Optional und enthält die angeforderten Daten oder eine Fehlermeldung.

   • Beispiel:

     {
       "id": 1,
       "title": "Spring Boot in Action",
       "author": "Craig Walls"
     }

14.6 Diagramm: Ablauf einer HTTP-Anfrage und -Antwort

14.7 HTTP-Methoden im Detail

1. GET
   • Zweck: Abrufen von Ressourcen.
   • Beispiel: GET /api/books/1 – Ruft das Buch mit der ID 1 ab.
   • Eigenschaften:
     • Idempotent: Mehrfache identische Anfragen haben denselben Effekt wie eine einzelne Anfrage.
     • Safe: Führt keine Änderungen am Serverzustand durch.
2. POST
   • Zweck: Erstellen von neuen Ressourcen.
   • Beispiel: POST /api/books – Erstellt ein neues Buch.
   • Eigenschaften:
     • Nicht idempotent: Mehrfache Anfragen können zu mehreren Ressourcen führen.
     • Wird oft mit einem Nachrichtentext (Body) verwendet.
3. PUT
   • Zweck: Aktualisieren oder Ersetzen von Ressourcen.
   • Beispiel: PUT /api/books/1 – Aktualisiert das Buch mit der ID 1 vollständig.
   • Eigenschaften:
     • Idempotent: Mehrfache identische Anfragen haben denselben Effekt wie eine einzelne Anfrage.
     • Ersetzt die gesamte Ressource.
4. PATCH
   • Zweck: Partielles Aktualisieren von Ressourcen.
   • Beispiel: PATCH /api/books/1 – Aktualisiert nur bestimmte Felder des Buches mit der ID 1.
   • Eigenschaften:
     • Nicht unbedingt idempotent, je nach Implementierung.
     • Ermöglicht gezielte Änderungen.
5. DELETE
   • Zweck: Löschen von Ressourcen.
   • Beispiel: DELETE /api/books/1 – Löscht das Buch mit der ID 1.
   • Eigenschaften:
     • Idempotent: Mehrfache Anfragen haben denselben Effekt wie eine einzelne Anfrage (Ressource ist einmal gelöscht).
6. OPTIONS
   • Zweck: Abfragen der unterstützten HTTP-Methoden für eine Ressource.
   • Beispiel: OPTIONS /api/books/1 – Gibt die unterstützten Methoden für das Buch mit der ID 1 zurück.
   • Eigenschaften:
     • Nützlich für CORS (Cross-Origin Resource Sharing).
7. HEAD
   • Zweck: Ähnlich wie GET, aber ohne den Nachrichtentext in der Antwort.
   • Beispiel: HEAD /api/books/1 – Ruft die Header-Informationen des Buches mit der ID 1 ab.
   • Eigenschaften:
     • Wird oft verwendet, um Metadaten abzurufen oder Caching-Entscheidungen zu treffen.

14.8 Statuscodes im Detail

HTTP-Statuscodes geben den Erfolg oder das Scheitern einer Anfrage an. Sie sind in fünf Klassen unterteilt:

1. 1xx (Informativ)
   • 100 Continue: Der Server hat die Anfangsteile der Anfrage erhalten und der Client kann mit dem Senden des Rests fortfahren.
   • 101 Switching Protocols: Der Server wechselt auf ein anderes Protokoll gemäß der Anfrage des Clients.
2. 2xx (Erfolgreich)
   • 200 OK: Die Anfrage war erfolgreich.
   • 201 Created: Eine neue Ressource wurde erfolgreich erstellt.
   • 204 No Content: Die Anfrage war erfolgreich, aber es gibt keine zu sendenden Daten.
3. 3xx (Umleitung)
   • 301 Moved Permanently: Die angeforderte Ressource wurde dauerhaft verschoben.
   • 302 Found: Die angeforderte Ressource wurde vorübergehend verschoben.
   • 304 Not Modified: Die Ressource wurde seit der letzten Anfrage nicht geändert.
4. 4xx (Client-Fehler)
   • 400 Bad Request: Die Anfrage war fehlerhaft oder konnte nicht verstanden werden.
   • 401 Unauthorized: Authentifizierung ist erforderlich.
   • 403 Forbidden: Der Server verweigert die Anfrage, obwohl der Client authentifiziert ist.
   • 404 Not Found: Die angeforderte Ressource wurde nicht gefunden.
5. 5xx (Server-Fehler)
   • 500 Internal Server Error: Ein unerwarteter Fehler ist auf dem Server aufgetreten.
   • 502 Bad Gateway: Der Server erhielt eine ungültige Antwort von einem Upstream-Server.
   • 503 Service Unavailable: Der Server ist vorübergehend nicht verfügbar.

14.9 Header-Felder im Detail

HTTP-Header liefern zusätzliche Informationen über die Anfrage oder Antwort. Sie sind in Schlüssel-Wert-Paare unterteilt und können sowohl für Metadaten als auch für Steuerinformationen verwendet werden.

1. Allgemeine Header
   • Date: Datum und Uhrzeit der Nachricht.
   • Connection: Optionen für die aktuelle Verbindung, z. B. keep-alive oder close.
2. Request-Header

   • Accept: Gibt die vom Client akzeptierten Medientypen an.

     Accept: application/json

   • Authorization: Enthält Authentifizierungsinformationen.

     Authorization: Bearer <token>

   • User-Agent: Informationen über den Client, z. B. Browsertyp.

     User-Agent: Mozilla/5.0

3. Response-Header

   • Content-Type: Gibt den Medientyp der Antwort an.

     Content-Type: application/json

   • Set-Cookie: Setzt Cookies im Browser des Clients.

     Set-Cookie: sessionId=abc123; Path=/; HttpOnly

   • Cache-Control: Steuerung der Cache-Strategie.

     Cache-Control: no-cache

4. Entity-Header

   • Content-Length: Länge des Nachrichtentextes in Byte.

     Content-Length: 348

   • Content-Encoding: Gibt die Komprimierung des Nachrichtentextes an.

     Content-Encoding: gzip

14.10 Verbindungsmanagement

HTTP kann verschiedene Verbindungsmanagement-Strategien nutzen, die die Art und Weise beeinflussen, wie Daten zwischen Client und Server übertragen werden.

1. HTTP/1.1
   • Persistent Connections (Keep-Alive): Standardmäßig wird die Verbindung nach der Anfrage nicht geschlossen, was die Effizienz bei mehreren Anfragen erhöht.
   • Pipelining: Ermöglicht das Senden mehrerer Anfragen ohne auf die jeweiligen Antworten zu warten (weniger verbreitet).
2. HTTP/2
   • Multiplexing: Erlaubt das gleichzeitige Senden mehrerer Anfragen und Antworten über eine einzige Verbindung.
   • Header-Komprimierung: Reduziert den Overhead durch Komprimierung der Header-Felder.
   • Server Push: Ermöglicht es dem Server, Ressourcen proaktiv an den Client zu senden.
3. HTTP/3
   • Basierend auf QUIC: Verwendet UDP statt TCP für geringere Latenzzeiten und verbesserte Verbindungszuverlässigkeit.
   • Verbesserte Sicherheit und Performance: Optimierungen für mobile Netzwerke und Echtzeitanwendungen.

14.11 Sicherheitsaspekte in HTTP

Während HTTP selbst keine eingebauten Sicherheitsmechanismen bietet, können verschiedene Erweiterungen und Protokolle eingesetzt werden, um die Kommunikation zu sichern.

1. HTTPS (HTTP Secure)
   • SSL/TLS-Verschlüsselung: Schützt die Daten während der Übertragung durch Verschlüsselung.
   • Zertifikate: Authentifiziert den Server gegenüber dem Client.
2. Authentifizierung und Autorisierung
   • Basic Authentication: Einfaches Authentifizierungsverfahren mit Base64-codiertem Benutzernamen und Passwort.
   • Bearer Tokens (z. B. JWT): Sicherere Methode zur Authentifizierung mittels Token.
   • OAuth2: Framework für autorisierte Zugriffe auf Ressourcen.
3. CORS (Cross-Origin Resource Sharing)
   • Regulierung von Cross-Origin-Anfragen: Bestimmt, welche Domains auf Ressourcen zugreifen dürfen.
   • Header-Konfiguration: Einstellungen wie Access-Control-Allow-Origin steuern den Zugriff.
4. Rate Limiting
   • Begrenzung der Anfragen pro Zeitintervall: Schützt vor Überlastung und Missbrauch.
   • Implementierung: Kann auf Server- oder Proxy-Ebene konfiguriert werden.
5. Input Validation und Sanitization
   • Schutz vor Angriffen: Validierung und Bereinigung von Eingaben verhindern Sicherheitslücken wie SQL-Injection oder Cross-Site Scripting (XSS).

14.12 Best Practices für den Einsatz von HTTP in RESTful APIs

1. Verwendung geeigneter HTTP-Methoden
   • Nutzen Sie die HTTP-Methoden entsprechend ihrer Bedeutung, um die Semantik Ihrer API zu wahren.
2. Konsistente und intuitive URI-Struktur

   • Halten Sie die URI-Struktur konsistent und logisch, um die Benutzerfreundlichkeit zu erhöhen.

   • Beispiel:

     /api/books
     /api/books/{id}
     /api/authors/{id}/books

3. Verwendung von Statuscodes
   • Geben Sie präzise und aussagekräftige HTTP-Statuscodes zurück, um den Status der Anfragen klar zu kommunizieren.
4. Content Negotiation
   • Ermöglichen Sie es dem Client, das gewünschte Datenformat anzugeben, indem Sie den Accept-Header verwenden.
5. Sicherheit implementieren
   • Schützen Sie Ihre API durch robuste Authentifizierungs- und Autorisierungsmechanismen sowie durch die Nutzung von HTTPS.
6. Versionierung der API

   • Implementieren Sie eine klare Versionierung, um Änderungen und Erweiterungen zu managen, ohne bestehende Clients zu beeinträchtigen.

   • Beispiel:

     /api/v1/books
     /api/v2/books

7. Dokumentation und Spezifikationen
   • Dokumentieren Sie Ihre API gründlich, einschließlich der unterstützten Endpunkte, Methoden, Parameter und möglichen Antworten. Tools wie OpenAPI/Swagger können dabei helfen.
8. Fehlerbehandlung
   • Gestalten Sie eine konsistente und informative Fehlerbehandlung, die dem Client klare Hinweise auf Fehlerursachen gibt.

Diagramm: HTTP-Kommunikationsfluss in einer RESTful API

14.13 Implementierung in Spring Boot

Spring Boot bietet eine umfassende Unterstützung für die Implementierung von HTTP-basierten RESTful APIs durch die Integration von Spring MVC. Hier sind einige Schlüsselkomponenten und -konzepte:

1. Controllers

   • Verwenden Sie @RestController, um Klassen zu kennzeichnen, die HTTP-Anfragen verarbeiten.

   • Beispiel:

     @RestController
     @RequestMapping("/api/books")
     public class BookController {
     
         @GetMapping("/{id}")
         public ResponseEntity<Book> getBookById(@PathVariable Long id) {
             // Implementierung
         }
     
         @PostMapping
         public ResponseEntity<Book> createBook(@RequestBody Book book) {
             // Implementierung
         }
     
         // Weitere Methoden
     }

2. Request Mappings
   • Nutzen Sie Annotationen wie @GetMapping, @PostMapping, @PutMapping, @DeleteMapping und @PatchMapping, um Methoden mit spezifischen HTTP-Methoden und URIs zu verknüpfen.
3. Path Variables und Request Parameters

   • Verwenden Sie @PathVariable, um Teile der URI als Parameter zu extrahieren.

   • Verwenden Sie @RequestParam, um Query-Parameter zu extrahieren.

   • Beispiel:

     @GetMapping("/search")
     public ResponseEntity<List<Book>> searchBooks(@RequestParam String author) {
         // Implementierung
     }

4. ResponseEntity

   • Ermöglicht die Rückgabe von HTTP-Statuscodes und Headern zusammen mit dem Antwortkörper.

   • Beispiel:

     return ResponseEntity.status(HttpStatus.CREATED).body(createdBook);

5. Exception Handling

   • Verwenden Sie @ControllerAdvice und @ExceptionHandler, um globale Fehlerbehandlungen zu definieren.

   • Beispiel:

     @ControllerAdvice
     public class GlobalExceptionHandler {
     
         @ExceptionHandler(BookNotFoundException.class)
         public ResponseEntity<String> handleBookNotFound(BookNotFoundException ex) {
             return ResponseEntity.status(HttpStatus.NOT_FOUND).body(ex.getMessage());
         }
     
         // Weitere Handler
     }

14.14 Beispiel: Vollständiger REST-Controller in Spring Boot

@RestController
@RequestMapping("/api/books")
public class BookController {

    private final Map<Long, Book> bookRepository = new ConcurrentHashMap<>();
    private final AtomicLong idCounter = new AtomicLong();

    @GetMapping
    public Collection<Book> getAllBooks() {
        return bookRepository.values();
    }

    @GetMapping("/{id}")
    public ResponseEntity<Book> getBookById(@PathVariable Long id) {
        Book book = bookRepository.get(id);
        if (book != null) {
            return ResponseEntity.ok(book);
        } else {
            return ResponseEntity.status(HttpStatus.NOT_FOUND).build();
        }
    }

    @PostMapping
    public ResponseEntity<Book> createBook(@RequestBody Book book) {
        Long id = idCounter.incrementAndGet();
        book.setId(id);
        bookRepository.put(id, book);
        return ResponseEntity.status(HttpStatus.CREATED).body(book);
    }

    @PutMapping("/{id}")
    public ResponseEntity<Book> updateBook(@PathVariable Long id, @RequestBody Book book) {
        if (bookRepository.containsKey(id)) {
            book.setId(id);
            bookRepository.put(id, book);
            return ResponseEntity.ok(book);
        } else {
            return ResponseEntity.status(HttpStatus.NOT_FOUND).build();
        }
    }

    @DeleteMapping("/{id}")
    public ResponseEntity<Void> deleteBook(@PathVariable Long id) {
        if (bookRepository.containsKey(id)) {
            bookRepository.remove(id);
            return ResponseEntity.noContent().build();
        } else {
            return ResponseEntity.status(HttpStatus.NOT_FOUND).build();
        }
    }
}

14.15 Erläuterung des Controllers

• @RestController: Kennzeichnet die Klasse als REST-Controller.
• @RequestMapping(“/api/books”): Definiert den Basis-URI für alle Endpunkte in dieser Klasse.
• @GetMapping(“/{id}”): Bindet die Methode an GET-Anfragen für /api/books/{id}.
• @PostMapping: Bindet die Methode an POST-Anfragen für /api/books.
• @PutMapping(“/{id}”): Bindet die Methode an PUT-Anfragen für /api/books/{id}.
• @DeleteMapping(“/{id}”): Bindet die Methode an DELETE-Anfragen für /api/books/{id}.
• ResponseEntity: Ermöglicht die Rückgabe von HTTP-Statuscodes und -Headers zusammen mit dem Antwortkörper.

14.15.1 Datenmodellklasse Book

public class Book {
    private Long id;
    private String title;
    private String author;

    // Konstruktoren
    public Book() {}

    public Book(Long id, String title, String author) {
        this.id = id;
        this.title = title;
        this.author = author;
    }

    // Getter und Setter
    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public String getTitle() {
        return title;
    }

    public void setTitle(String title) {
        this.title = title;
    }

    public String getAuthor() {
        return author;
    }

    public void setAuthor(String author) {
        this.author = author;
    }
}

14.16 Erweiterte Konzepte

1. Content Negotiation
   • Ermöglicht es dem Client, das bevorzugte Datenformat durch den Accept-Header anzugeben.
   • Spring Boot unterstützt automatisch die Konvertierung zwischen verschiedenen Formaten wie JSON und XML, sofern die entsprechenden Abhängigkeiten vorhanden sind.
2. Path Variables vs. Request Parameters

   • Path Variables sind Teile der URI, die bestimmte Ressourcen identifizieren.

   • Request Parameters sind Schlüssel-Wert-Paare, die zusätzliche Informationen zur Anfrage liefern.

   • Beispiel:

     @GetMapping("/search")
     public ResponseEntity<List<Book>> searchBooks(@RequestParam String author) {
         // Implementierung
     }

3. Versionierung von APIs
   • Ermöglicht die Verwaltung von Änderungen und Erweiterungen, ohne bestehende Clients zu beeinträchtigen.
   • Implementierungsansätze:
     • URI-basierte Versionierung: /api/v1/books
     • Header-basierte Versionierung: Nutzung von benutzerdefinierten Headern zur Angabe der Version.

14.17 Beispiel: Versionierung durch URI

@RestController
@RequestMapping("/api/v1/books")
public class BookControllerV1 {
    // Implementierung für Version 1
}

@RestController
@RequestMapping("/api/v2/books")
public class BookControllerV2 {
    // Implementierung für Version 2
}

14.18 Best Practices für den Einsatz von HTTP in RESTful APIs

1. Verwenden Sie klare und konsistente URIs

   • Halten Sie die URIs intuitiv und logisch, um die Benutzerfreundlichkeit zu erhöhen.

   • Beispiel:

     /api/books
     /api/books/{id}
     /api/authors/{id}/books

2. Nutzen Sie die richtigen HTTP-Methoden
   • Verwenden Sie Methoden entsprechend ihrer Bedeutung, um die Semantik Ihrer API zu wahren.
3. Verwenden Sie aussagekräftige Statuscodes
   • Kommunizieren Sie den Erfolg oder das Scheitern von Anfragen klar durch die Verwendung geeigneter Statuscodes.
4. Implementieren Sie sinnvolle Fehlerbehandlung
   • Stellen Sie konsistente und informative Fehlermeldungen bereit, die dem Client helfen, Probleme zu verstehen und zu beheben.
5. Sichern Sie Ihre APIs
   • Implementieren Sie robuste Authentifizierungs- und Autorisierungsmechanismen sowie die Verschlüsselung der Kommunikation durch HTTPS.
6. Dokumentieren Sie Ihre APIs gründlich
   • Nutzen Sie Tools wie OpenAPI/Swagger zur automatischen Generierung und Pflege der API-Dokumentation.
7. Optimieren Sie die Performance
   • Nutzen Sie Caching-Strategien und optimieren Sie die Datenübertragung, um die Leistung Ihrer APIs zu verbessern.

14.19 tl;dr

HTTP bildet die Grundlage für die Kommunikation im Web und RESTful APIs, die in Spring Boot-Anwendungen weit verbreitet sind. Es definiert das Client-Server-Modell, verschiedene HTTP-Methoden, Statuscodes und Header-Felder, die den Datenaustausch strukturieren. Durch das Verständnis der HTTP-Funktionsweise können Entwickler effiziente, skalierbare und sichere Webservices erstellen. Spring Boot unterstützt die Implementierung von RESTful APIs umfassend durch Annotationen, flexible Konfigurationsmöglichkeiten und integrierte Sicherheitsfunktionen.