一直没弄懂Session，cookies什么的登陆验证到底是怎么回事，昨天分别用HttpURLConnection和HttpClient两个类来实验了一下，基本弄明白了Session验证登陆的机制和这两个类的区别。现在分享给大家。

第一步：先在本地写一个登陆页面和一个内容页面（登陆了才能进去）吧。代码大致如下：

下面是login.php，用于请求登陆的，通过post传递参数，如果登陆成功就会注册session，代码如下:

1. <?php
2. session_start();
3. if (isset($_POST['username'])) {
4. $username = $_POST['username'];
5. $password = $_POST['password'];
6. if ($username == 'admin' && $password == 'admin') {
7. $_SESSION['username'] = $username;
8. echo "<a href='content.php'>进入网站</a>";
9. } else {
10. echo "-1";
11. }
12. }
13. ?>
14. <html>
15. <body>
16. <form action="" method="post">
17. <input type="text" name="username" />
18. <input type="password" name="password" />
19. <input type="submit" name="submit" value="submit" />
20. </form>
21. </body>
22. </html>

下面是content.php，会验证session，用来当网站的内容页，登陆了才能看到正确的内容，代码如下:

1. <?php
2. session_start();
3. if (isset($_SESSION['username'])) {
4. echo "login ok";
5. } else {
6. echo "not login";
7. }
8. ?>

接下来先讲HttpURLConnection这个类，先使用这个类直接请求content.php页面，理所应当的返回了"-1"。如果先用这个类去请求login.php，并传递正确的参数，就会显示登陆成功，这个时候再去用这个类请求content.php，依然是返回"-1"，很显然，HttpURLConnection并没有记录我们登陆的状态，或者说服务器认识刚刚登陆成功的人，但这次请求content.php的人它依然不认识。这就说明了HttpURLConnection的每一次请求都是独立的，都是一次新的请求，或者说每一次请求都是一个新的会话（session）。

然后我就用chrome去开我自己写的那个测试的网页，发现在同一个网站下，同一次会话中，有一个sessionid是不会变的。

就是上面这个东西，如果开着某个页面，无论如何刷新，或者跳转到这个服务器下的其他网站，这个SESSIONID的值都不会改变，但是如果关掉这个服务器下的所有页面，再重新打开这样的一个页面，这个SESSIONID的值就被重新生成了。

于是用HttpURLConnection的情况，第一次登陆login.php是一个SESSIONID，确实登陆成功了，服务器记住的是SESSIONID为A的情况（假设是A好了），但再去请求content.php的时候，SESSIONID就不是A了，服务器就认为你没有登陆，于是就显示了“-1”。问题搞明白了，那么只需要在HttpURLConnection请求的时候，给它加上SESSIONID这个头部就行了。最终代码如下：

1. public class NetHelper {
2. /**
3. * SESSIONID
4. * */
5. private String sessionId = "";
6. /**
7. * 发送一条请求，将内容以字符串返回
8. * @param url 请求的地址
9. * @return 返回的内容
10. * */
11. public String request(String url) throws IOException {
12. URL uUrl = new URL(url);
13. HttpURLConnection huc = (HttpURLConnection) uUrl.openConnection();
14. huc.addRequestProperty("Cookie", sessionId); //为什么是“Cookie”，Chrome打开F12自己看看就明白了
15. huc.connect();
16. BufferedReader br = new BufferedReader(new InputStreamReader(huc.getInputStream()));
17. String data = "";
18. String line = "";
19. while ((line = br.readLine()) != null) {
20. data = data + line;
21. }
22. return data;
23. }
24. /**
25. * 发送登陆请求，并将SESSIONID保存起来
26. * @param url 登陆请求的地址
27. * @return 返回的内容
28. * */
29. public String login(String url) throws IOException {
30. URL uUrl = new URL(url);
31. HttpURLConnection huc = (HttpURLConnection) uUrl.openConnection();
32. //设置请求方式
33. huc.setRequestMethod("POST");
34. //设置post参数
35. StringBuffer params = new StringBuffer();
36. params.append("username=").append("admin").append("&").append("password=").append("admin");
37. byte[] bytes = params.toString().getBytes();
38. huc.getOutputStream().write(bytes);
39. huc.connect();
40. //从headers中取出来，并分割，为什么要分割，Chrome打开F12自己看看就明白了
41. String[] aaa = huc.getHeaderField("Set-Cookie").split(";");
42. sessionId = aaa[0];
43. BufferedReader br = new BufferedReader(new InputStreamReader(huc.getInputStream()));
44. String data = "";
45. String line = "";
46. while ((line = br.readLine()) != null) {
47. data = data + line;
48. }
49. return data;
50. }
51. }

接下来就是使用HttpClient，代码类似的，我做了相同的实验，结果就直接出来了，HttpClient会自动的管理Session，第二次请求不需要手动去设置Session就可以登录上，代码如下:

1. public class NetClient {
2. private HttpClient client = null;
3. public NetClient() {
4. client = new DefaultHttpClient();
5. }
6. public String request(String url) throws ClientProtocolException, IOException {
7. HttpPost post = new HttpPost(url);
8. HttpResponse res = client.execute(post);
9. BufferedReader br = new BufferedReader(new InputStreamReader(res.getEntity().getContent()));
10. String data = "";
11. String line = "";
12. while ((line = br.readLine()) != null) {
13. data = data + line;
14. }
15. return data;
16. }
17. public String login(String url) throws ClientProtocolException, IOException {
18. HttpPost post = new HttpPost(url);
19. //设置post参数的方式还真是不人性化啊……
20. ArrayList<NameValuePair> pa = new ArrayList<NameValuePair>();
21. pa.add( new BasicNameValuePair( "username", "admin"));
22. pa.add( new BasicNameValuePair( "password", "admin"));
23. post.setEntity( new UrlEncodedFormEntity(pa, "UTF-8"));
24. HttpResponse res = client.execute(post);
25. BufferedReader br = new BufferedReader(new InputStreamReader(res.getEntity().getContent()));
26. String data = "";
27. String line = "";
28. while ((line = br.readLine()) != null) {
29. data = data + line;
30. }
31. return data;
32. }
33. }

最后总结一下，Session验证的方式是在一次会话中，为每一个客户端都生成了一个SESSIONID，如果是成功登陆的，服务器端就会记录好，登陆成功的SESSIONID，如果登陆失败或者新的SESSIONID，都将无法验证登陆，这就是SESSION验证登陆的基本情况。

而HttpURLConnection和HttpClient这两个类都可以用来网络请求，但稍有不同，HttpuRLConnection每一次请求都是新的会话，如果需要去验证SESSIONID，就必须手动的去设置Header，HttpClient就能智能的管理Session，不需要手动设置，实际上HttpClint就类似于一个程序中的小浏览器。

最大的槽点我觉得就是这两个类设置post参数的方式都很2B一点都不方便……

另外HttpClient不能同时发送两次请求，如果一个请求还没有结束或者关闭，又马上开启另一个请求，就会报警告。

所以我综合考虑了下，以后还是尽量都使用HttpURLConnection吧。