介绍ASP.NET 中的SESSION如何实现
在ASP.NET中,状态的保持方法大致有:
ApplicationState,SessionState,Cookie,配置文件,缓存。
【ApplicationState】 的典型应用如存储全局数据。
【SessionState】 的典型应用如购物车项目保存。
【Cookie】 的典型应用如网站的个性化设置。
【配置文件】 的典型应用如保存客户账户信息。
【缓存】 的典型应用如保存从数据库获取的数据。
相对来讲,最不安全的是Cookie,因为它存储在客户端,会被用户修改。其它另外几种都只是在服务端,从来没被传送到客户端,所以是安全的。但是对于Session来说,因为涉及到一个SessionID的问题,如果不使用SSL(Secure Socket Layer)协议(https就基于SSL)的话,可能发生 会话劫持问题。当然,上面提到的一个状态保持是一个比较广义的状态保持,真正能保持特定客户端的状态的,只有Cookie 与 Session两种,当然其它基于登录用户的方式就不提了。
今天我先只学习Session吧,前几天笔试时,Session 上吃了大亏。Session可以在服务器端保持一些信息,并且当一个特定的用户在一个特定的WebApp中的不同页面间跳转时,这个信息是可以共享的。所以,这种机制就常被拿来保存购物车信息,因为一个用户在一个电子商务站点,可能会依次浏览不同的商品页面,然后往里面加商品,刚好是针对同一用户的页面跳转信息保持,正好用Session实现。那么对于Server端来说,要标识一个特定的客户端,就要给客户端一个ID,叫做 SessionID。这个东西要由服务端生成然后发送,存放在客户端,存放方式有两种,一种是客户端 Cookie,另一种是附加在URL上。就是因为这个步骤,导致了前面所谓的会话劫持的风险。这种风险可由使用SSL传送来解决。
关于SessionID,需要知道的是,它由HTTP REQUEST处理管道中的一个叫SessionStateModule的模块产生的一个
120位的标识符,并使用一个私有算法来生成的,保证了该值是唯一的且足够随机(当然是从统计学的角度来说)。因此从这儿可以看出,SessionID完全不用开发人员操心,那是ASP.NET服务解决的问题。接下来,系统提供了一个名叫 Session 的集合,可以直接进行读写操作,如下所示:
写入:Session["SimpleString"] = "Hello Session!";
在本页面,或者下一个页面中读取:
string s = Session["SimpleString"].ToString(); //注意这儿要对集合元素进行类型转化。
真是太简单了。本着深入理解一样事物的原则,我当然要弄明白,这个Session倒底是个什么东西,以及这些Session信息,倒底是放在服务器上的哪儿的?
1:Session 是 HttpContext 类的一个属性(Property),是一个HttpSessionState 类型的对象:
public sealed class HttpContext : IServiceProvider
{
//
public HttpSessionState Session { get; }
//
}
既然它是一个HttpSessionState类型的对象,那我看看这个类倒底提供了哪些东西可用,查了下MSDN,有很多东西,但我想比较有趣的有:
Session.Count 指示当前会话集合中的项目数。
Session.SessionID 指示当前客户端会话的SessionID。
IsCookieless 指示当前会话ID是存储在cookie中还是嵌入在URL中。
Timeout 指示了当前会话要保存多长时间,因为客户端不会请求销毁Session数据,所以这些数据要等一定的时间后 自动由服务端释放。
Abandon() 使用该方法可以立即取消当前会话并释放它战胜的空间,在退出页面中它很有效,能够确保服务器资源最快得 到回收。
Clear() 该方法在不改变当前会话ID的情况下清空所有的会话项目。
2:Session数据也是由SessionStateModule这个模块来负责处理的,但它并不保存会话数据,数据是放在称做SessionState Provider 的东西中的,有三种典型的Provider 方式:InProc ,StateServer,SQLServer 。
InProc: 设置为将Session存储在进程内,跟ASP中的存储方式一样,这是默认值。
StateServer :设置为将Session存储在独立的状态服务中。
SQLServer: 设置将Session存储在sql server中。
我们一般默认使用InProc方式,这个配置是通过web.config来指定的,如下:
<sessionState
mode="InProc"
stateConnectionString="tcpip=127.0.0.1:42424"
sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
cookieless="false"
timeout="20"
/>
这一个配置节的语法如下:
"Off|InProc|StateServer|SQLServer"
cookieless="true|false"
timeout="number of minutes"
stateConnectionString="tcpip=server:port"
sqlConnectionString="sql connection string"
stateNetworkTimeout="number of seconds"
/>
另外两种存储方法要具体配置,参考下面的那篇列举的文章即可。
最后一个学习点:Session信息什么情况下会不可用。
1:用户关闭并重启浏览器,这时候再请求同一个页面,尽管Session仍然在,但是因为这次又生成了新的SessionID,所以旧的Session已经不可用了。
2:用户通过另一个浏览器窗口访问在同一页面,这时候不同的浏览器有不同的处理方法,有些Session仍然可用,有些不可用。
3:由于没有活动导致会话超时,默认情况下是20分钟闲置后就会超时。
4:程序中调用了Session.Abandon()方法结束了会话。