维护Web应用程序状态(2)——Session

最新推荐文章于 2024-11-09 21:51:58 发布

挨踢爬虫

最新推荐文章于 2024-11-09 21:51:58 发布

阅读量1.3k

点赞数

分类专栏： ASP.NET技术文章标签： session web asp.net sql server application 数据库

本文链接：https://blog.csdn.net/GodHeaven/article/details/3430388

版权

ASP.NET技术专栏收录该内容

2 篇文章 0 订阅

订阅专栏

rel="File-List" href="file:///C:%5CDOCUME%7E1%5CADMINI%7E1%5CLOCALS%7E1%5CTemp%5Cmsohtml1%5C01%5Cclip_filelist.xml"> rel="Edit-Time-Data" href="file:///C:%5CDOCUME%7E1%5CADMINI%7E1%5CLOCALS%7E1%5CTemp%5Cmsohtml1%5C01%5Cclip_editdata.mso">

使用会话状态（Seesion）

和cookie一样，保存在Session状态中的项的作用范围是特定的用户。可以使用Session状态在多个页面请求间存储用户设置信息或其它用户相关的数据。

和cookie不一样的是，Session状态没有大小限制。如果有极端的要求，甚至可以在Session状态中存储上G的数据。

并且，和cookie不一样，Session状态可以保存更复杂的对象，而不像cookie只能存储简单的字符串文本。可以在Session状态中存储任意的对象。

可以使用Session对象为Session状态添加项。例如，代码清单1所示的页面添加一个名叫message的新项到Session状态，包含值Hello World！。

代码清单1 SessionSet.aspx

前台代码：SessionSet.aspx

<%@ Page Language="C#" %>

<!DOCTYPE html PUBLIC "-//W 3C //DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<title>Session Set</title>

</head>

<body>

<div>

<h1>Session item added!</h1>

</div>

</form>

</body>

</html>

后台代码：SessionSet.aspx.cs

public partial class _Default : System.Web.UI.Page

{

protected void Page_Load(object sender, EventArgs e)

{

Session["message"] = "Hello World!";

}

在代码清单1的Page_Load事件处理中，一个新的项被添加到Session对象中。可以像使用HashTable集合那样使用Session对象。

代码清单2所示的页面演示了怎样读取保存在Session状态中的项的值。

代码清单2：SessionGet.aspx

前台代码：SessionGet.aspx

<%@ Page Language="C#" AutoEventWireup="true" CodeBehind="SessionGet.aspx.cs" Inherits="SessionDemo.SessionGet" %>

<!DOCTYPE html PUBLIC "-//W 3C //DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<title>Untitled Page</title>

</head>

<body>

<div>

<asp:Label ID="lblMessage" runat="server" />

</div>

</form>

</body>

</html>

后台代码：SessionGet.aspx.cs

public partial class SessionGet : System.Web.UI.Page

{

protected void Page_Load(object sender, EventArgs e)

{

lblMessage.Text = Session["message"].ToString();

}

当使用Session状态时，一个名叫ASP.NET_SessionId的cookie会自动添加到浏览器。这个cookie包含了一个唯一标识符。它可以在页面切换时跟踪用户。

当添加对象到Session对象时，该对象将存储在Web服务器端上而不是Web浏览器上。ASP.NET_SessionId用于正确地关联数据和用户。

默认情况下，如果cookie被禁用，Session状态也不能工作了。你不会得到任何错误，但是，添加到Session状态的项目在请求后续页面时不能被访问到。

注意：要小心不要过度滥用Session状态。因为会为每个请求页面的用户单独创建一份所有添加Session状态中项的副本。如果放置一个包含400条记录的DataSet到Session状态中，并且有500个用户在请求该页面，内存中就会有500份DataSet的副本。

默认情况下，ASP.NET Framework假设如果用户超过20分钟不请求任何页面，则认为此用户离开网站。此时，该用户保存在Session状态中的数据会被丢弃。

1 使用Session对象

用户操作Session对象的最主要的应用程序编程接口是HttpSessionState类。该对象被Page.Session，Context.Session，UserControl.Session，WebService.Session和Application.Session属性暴露。也就是说，基本上可以在任何地方访问Session状态。

HttpSessionState支持下面这些属性：

CookieMode——用来指定是否启用不依赖cookie的Session状态功能。可能的值包括AutoDetect、UseCookies、UseDiviceProfile和UseUri。

Count——用来获得Session状态中包含的项的数量。

IsCookieless——用来指定是否启用不依赖cookie的Session状态功能。

IsNewSession——用来检测当前请求是否创建了新的用户会话。

IsReadOnly——用来检测该Session状态是否是只读的。

Keys——用来获取保存在Session状态中的项目的名称列表。

Mode——用来指定当前的Session状态的存储处理程序。可能的值包括Custom、InProc、Off、SqlServer和StateServer。

SessionID——用来获得唯一的会话标识符。

TimeOut——用来指定Web服务器端假设用户已经离开并取消Session状态的过去分钟数。最大值为525600（1年）。

HttpSessionState对象还包含了如下方法：

Abandon——用来终止一个用户会话。

Clear——用来清除Session状态中的所有项目。

Remove——用来从Session状态中删除特定的项。

Abandon（）方法允许以编程的方式终止一个用户会话。

2 提交会话事件

Global.asax中包含两个可以处理的关联Session状态的事件：Session Start和Session End事件。

Session Start事件在一个新会话开始时被触发。可以利用该事件从数据库载入用户信息。

Session End事件在会话终止时被触发。会话会因用户不活动而过期或则被显示地使用Session.Abandon（）方法而终止。

代码清单3：Global.asax

public class Global : System.Web.HttpApplication

{

protected void Application_Start(object sender, EventArgs e)

{

Application["SessionCount"] = 0;

}

protected void Session_Start(object sender, EventArgs e)

{

Application.Lock();

int count = (int)Application["SessionCount"];

Application["SessionCount"] = count + 1;

Application.UnLock();

}

protected void Session_End(object sender, EventArgs e)

{

Application.Lock();

int count = (int)Application["SessionCount"];

Application["SessionCount"] = count - 1;

Application.UnLock();

}

protected void Application_End(object sender, EventArgs e)

{

}

在代码清单3中，Global.asax文件用来跟踪活动会话的数量。任何时候一个新的会话开始时，Session_Start事件将被触发，SessionCount变量增加1。当会话终止时，Session_End事件被触发，SessionCount变量减1。

SessionCount变量被保存在Application状态中。Application状态包含的项被应用程序的所有用户共享。注意，在修改Application对象时锁住了它。必须对Application对象加锁和解锁，因为在同一时间，有可能多个用户都访问Application状态中相同的项。

注意：应用程序状态在ASP.NET中很少被使用。大多数情况下，应该使用Cache对象代替Application状态，因为Cache对象被设计成能够自动地管理内存。

注意：并不是所有的会话存储处理程序都能触发Session_End事件。InProc会话处理程序（默认的会话处理程序）会触发，但是StateServer或SQLServer状态处理程序就不会触发。

3 会话失效控制

默认情况下，ASP.NET Frameword假设，过20分钟用户还不请求页面，则认为已离开应用程序。在某些情况下，我们需要修改默认的过期值。

假如创建一个大学申请入学网站，网站包含一个让申请者输入一篇很长的文章的表单。在这种情况下，我们可能不希望用户会话在20分钟后就过期。

增加会话的过期时间的坏处是，应用程序会消耗更多内存。会话的过期时间越长，潜在地就有可能消耗更多的服务器端内存。

可以在Web配置文件中设置会话过期时间，或者也可以以编程的方式设置会话的过期时间。例如，代码清单4所示的Web配置文件将会话过期时间设为60（1小时）。

代码清单4：Web.config

<?xml version="1.0"?>

<system.web>

</system.web>

</configuration>

也可以以编程的方式设置Session对象的Timeout属性来修改会话过期时间。例如，下面的语句修改Session过期时间从20分钟到60分钟。

Session.Timeout = 60;

执行以上的语句后，用户会话的过期时间值就被修改了。当用户访问其他页面时，该值也一样有效。

4 使用Cookieless的会话状态

默认情况下，Session状态依赖cookie。ASP.NET Framework利用ASP.NET_SessionId这个cookie来识别跨页面请求的用户，这样，正确的数据就能关联到正确的用户。如果用户在浏览器中禁用了cookie，Session状态就不能工作了。

如果希望在cookie被禁用时Session状态还能工作，就应该使用无cookie的会话。当启用无cookie的会话时，用户的会话ID添加到页面的URL中。

下面是一个启用无cookie的会话时的页面URL的样子：

http://localhost:4945/Original/(S(5pnh11553sszre45oevthxnn))/SomePage.axpx

URL中的奇怪的代码就是当前用户的会话ID。它的值和从Session.SessionID属性获得的值是一样的。

可以修改Web配置文件的sessionState元素，启用无cookie的会话。seesionState元素包含一个cookieless属性接受下面的值：

AutoDetect——当浏览器启用cookie时，会话ID保存在cookie中，否则，会话ID添加到URL；

UseCookies——会话ID总是被存于cookie（默认值）。

UseDeviceProfile——当浏览器支持cookie时，会话ID存于cookie，否则，会话ID添加到URL。

UseUri——会话ID总是添加到URL。

代码清单5所示的Web配置文件给cookieless属性设置了值AutoDetect，以启用不依赖于cookie的会话。

代码清单5：Web.config

<?xml version="1.0"?>

<system.web>

</system.web>

</configuration>

注意：测试无cookie会话的最简单方式是使用Mozilla Firefox浏览器，因为该浏览器可以非常简单地禁用cookie。选择Tools菜单项中的Options。从Privacy标签下取消选中Allow Site to Set Cookies选项。

注意，代码清单5所示的配置文件还包含了一个regenerateExpiredSessionId属性。当启用无cookie的会话状态时，就应该启用该属性，因为它能帮助用户避免不小心共享Session状态。

当启用无cookie的会话，并在应用程序的页面间链接时，需要注意尽量使用相对URL。否则，会话ID不能自动添加到URL。

例如，当在网站中链接另一个页面时，使用像这样的URL（一个相对的URL）：

/SomeFolder/SomePage.aspx

不要使用下面这样的URL（一个绝对URL）：

http://SomeSite.com/SomeFolder/SomePage.aspx

如果出于某些原因需要使用绝对URL，则使用Response.ApplyAppPathModifier（）方法添加会话ID到URL。该方法接受一个绝对URL，返回一个嵌入了会话的URL。

5 配置Session状态存储

默认情况下，Session状态被保存在ASP.NET所在的相同进程中。这样做有两个主要缺点。

首先，进程内Session状态很脆弱。如果应用程序重起，则所有的Session状态将会丢失。多种不同的事件会导致应用程序重起。例如，修改Web.config文件或应用程序错误都能导致应用程序重起。

其次，进程内Session状态可伸缩性较差。当Session状态保存在进程中时，它是保存在特定的Web服务器端上的。换句话说，不能再Web集群中使用进程内Session状态。

如果需要实现更健壮的Session状态版本，则ASP.NET Framework提供许多选项。可以用过修改Session状态模式设置ASP.NET Framework存储Session状态到另一个地方。

可以设置Session状态模式为以下值：

Off——禁用Session状态；

InProc——在ASP.NET进程所在的相同进程存储Session状态；

StateServer——存储Session状态到独立于ASP.NET进程的一个Windows NT进程；

SQLServer——存储Session状态到SQL Server数据库；

Custom——存储Session状态到自定义位置；

默认情况下，Session状态模式是InProc，这是出于性能方面的考虑。进程内Session状态拥有最好的性能。然而，它牺牲了健壮性和伸缩性。

当设置Session状态模式为StateServer或SQLServer时，我们牺牲性能换取了健壮性和伸缩性。存储Session状态到进程外，拥有更差的性能，因为，Session状态信息必须在网络上来回传递。

最后，可以通过继承SessionStateStoreProviderBase类创建一个新类来创建自定义Session状态存储处理程序。此时，就可以保存Session状态到任何希望的地方。例如，可以创建一个Session状态存储处理程序保存Session状态到Oracle或Foxpro数据库。

配置状态服务器端Session状态

当启用状态服务器端（State Server）Session状态时，Session状态信息被保存在独立的Windows NT服务中。该Windows NT服务可以在Web服务器端所在的服务器上，也可以在网络中的另一台服务器端上。

如果保存Session状态到一个独立的Windows NT服务的内存中，则Session状态信息即使在ASP.NET应用程序不工作时也会一直存在。例如，如果我们在ASP.NET应用程序崩溃了，Session状态信息不会丢失，应为它们保存在一个独立的进程中。

并且，可以创建一个Web集群来使用Windows NT Service保存状态信息。可以将网络中的某一台服务器端配置为状态服务器端。Web集群中的所有服务器端可以使用这个中央状态服务器端存储Session状态。

要使用状态服务器端Session状态，必须完成下面的两个步骤：

1. 启动ASP.NET状态服务。

2. 配置应用程序使用ASP.NET状态服务。

可以从开始菜单、控制面板、管理工具打开Services程序来启动ASP.NET状态服务（如下图）：

如果希望在网络中的一台独立的服务器端上运行ASP.NET状态服务。则需要修改部署ASP.NET状态服务的服务器端的注册表。默认情况下，ASP.NET状态服务不接受远程连接。要允许远程连接，从命令行程序执行RegEdit，设置下面的注册表键值为1：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/aspnet_state/Parameters/AllowRemoteConnection

启动ASP.NET状态服务后，需要配置ASP.NET应用程序来使用它。代码清单6所示的Web配置文件启用了状态服务器端Session状态。

代码清单6：Web.config

<?xml version="1.0"?>

<system.web>

<machineKey decryption="AES"

validation="SHA1"

decryptionKey=" 306C 1FA852AB3B0115150DD8B"

validationKey="234JK13J4K 13L 41341I34I134KJ1" />

</system.web>

</configuration>

代码清单6所示的Web配置文件修改了SessionState的三个属性。首先，mode属性被设为StateServer。接着，stateConnectionString属性用来指定ASP.NET状态服务器端的位置。在代码清单6中，连接位置被创建为在localhost，端口42424。最后，stateNetworkTimeout属性用来指定连接超时的秒数。

注意：可以通过修改下面的注册表值来配置ASP.NET状态服务器端使用一个不同的端口：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/aspnet_state/Parameters/Port

需要用Services程序停止并重起ASP.NET状态服务，使修改生效。

注意，代码清单6所示的Web配置文件包含了一个machineKey元素。如果安装Web集群，并且需要不同的服务器端使用相同的状态服务器端，则必须指定显示的加密和验证键值。换句话说，当ASP.NET状态服务器端就是ASP.NET应用程序所在的机器时，无需包含machineKey元素。

6 配置SQL Server Session状态

如果希望尽可能可靠地保存Session状态，那么可以保存Session状态到SQL Server数据库。因为可以设置一个失败转移（Failover）SQL Server集群。保存在SQL Server中的Session状态几乎能够在任何情况下保持有效，哪怕是遭受到非常严重的破坏。

必须完成下面的两个步骤以启动SQL Server Session状态：

1. 配置数据库支持SQL Server Session状态；

2. 配置应用程序使用SQL Server Session状态；

可以使用aspnet_regsql工具添加必要的表和存储过程来支持SQL Server Session状态。aspnet_regsql工具在如下路经所示位置：

/Windows/Microsoft.NET/Framework/[version]/aspnet_regsql.exe

注解 如果打开SDK命令行提示程序，那么不需要指定Microsoft.NET文件夹也能使用aspnet_regsql工具。

执行下面的命令就能为名为YourServer的服务器端上的SQL Server数据库启用SQL Server Session状态。

aspnet_regsql –C “Data Source=YourServer;Integrated Security=True” -ssadd

当执行该命令时，一个名叫ASPState的新数据库被创建到数据库服务器端。ASPState数据库包含所有被Session状态使用的存储过程。然后，默认情况下，Session状态信息保存在TempDb数据库。当数据库服务器端重启时，TempDb数据库会自动清空。如果希望使用基于失败转移集群的SQL Server数据库，则不要使用TempDb数据库。同样地，如果希望即使数据库重启Session状态依然有效，则不要使用TempDb数据库。