.Net MVC4.0（5） - Session&cookie

Cookie原理：（第一次）浏览器发送请求（用户名&密码）---》application获取请求(request用户名密码)---》将用户信息存入cookie并response返回浏览器；

  public ActionResult Login(String user, String pw)
        {
            HttpCookie cookis = new HttpCookie("chenghan");
            cookis.Value = "1234565";
            Response.AppendCookie(cookis);
            MD5 md5 = new MD5();

抓包：

1，第一客户端请求。只有sessionID没有cooike；默认情况session存在cookie中。下面会讲到如何让sessionID存在URL中

2，application获取表单之后返回给浏览器的信息，浏览器会将Cookie存入浏览器中

3，（第一次或者以后的所有请求）直接可以resquest获取用户名密码；因为此时的cookie中已经永远有数据了。至于cookie的生命周期都是基础哈，自己去看。

Session原理：

刚刚也看到了只要用户和服务器建立了连接，服务器就会随意产生一个24位的sessionID，带包该客户的唯一标示。我们就可以直接在代码里面写session了。

抓到的SESSION：

1，session存在IIS进程内

        public ActionResult Login(String user, String pw)
        {
            //MD5加密
            MD5 md5 = new MD5();
            String password = md5.getMd5(pw, 32);
            //从数据库获取该用户
            TAdmin Admin = dao.Login(user, password);         
            if (Admin != null)
            {
                //将用户信息存入Admin中
                Session["Admin"] = Admin;
                //设置SESSION的过期时间，单位是分钟
                Session.Timeout = 10;

以上是直接写Session，她会存在IIS进程中，速度很快，但是存入的数据大了的话会影响性能；

2，通过修改配置文件来实现（如果webConfig文件中配置了session，代码中也配置了session.我们也可以跟去我前面讲的application的运行生命周期猜到第一次webconfig给session设置属性了， 但是代码的时候会覆盖webconfig中的属性）

必须有的属性是

属性 选项 描述 
mode  设置将Session信息存储到哪里 
 Off 设置为不使用Session功能 
 InProc 设置为将Session存储在进程内，就是ASP中的存储方式，这是默认值。 
 StateServer 设置为将Session存储在独立的状态服务中。 
 SQLServer 设置将Session存储在SQL Server中。 

可选的属性是：

属性 选项 描述 
cookieless  设置客户端的Session信息存储到哪里 
 ture 使用Cookieless模式 
 false 使用Cookie模式，这是默认值。 
timeout  设置经过多少分钟后服务器自动放弃Session信息。默认为20分钟 
stateConnectionString  设置将Session信息存储在状态服务中时使用的服务器名称和端口号，例如："tcpip=127.0.0.1:42424”。当mode的值是StateServer是，这个属性是必需的。 
sqlConnectionString  设置与SQL Server连接时的连接字符串。例如"data source=localhost;Integrated Security=SSPI;Initial Catalog=northwind"。当mode的值是SQLServer时，这个属性是必需的。 
stateNetworkTimeout  设置当使用StateServer模式存储Session状态时，经过多少秒空闲后，断开Web服务器与存储状态信息的服务器的TCP/IP连接的。默认值是10秒钟。  

InProc 模式：

修改webconfig中  在system.web节点内添加：

简单方便配置了就能用：

<sessionState mode="InProc" stateConnectionString="tcpip=127.0.0.1:8866" sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"  cookieless="false" timeout="20" />

SQL Server 模式：

<sessionState mode="SQLServer" sqlConnectionString="data source=127.0.0.1\sql2008;userid= sa;password=95938" cookieless= "false"timeout= "20" />

存储在数据库中  

运行InstallSqlState.sql文件

首先需要在Winnt\Microsoft.Net中找到InstallSqlState.sql文件，然后在SQL Server 中执行它。在我的机器中，它存在于E:\WINNT\Microsoft.NET\Framework\v1.0.2914\目录中。这个文件是微软自己提供的，里面有很全的SQL语句,修改你的web.config文件，指定Session的mode为SQL Server

将web.config的sessionState部分改成： 

　　在microsoft  sql  server  query  analyzer  中运行installsqlstate.sql,这个文件在　　　　　＂C:\WINNT\Microsoft.NET\Framework\v1.1.4322＂下面找  
　　修改Web.config  
           <configuration  >  
               <system.web  >  
                     <sessionState  mode=  "SQLServer  "  
                         sqlConnectionString=  "server=127.0.0.1;UID=sa;PWD=secret  "  /  >  
               </system.web  >  
           </configuration  >  
       重启SQL  server和SQL  Server　Agent服务．  
　　可以用下面的SQL  查询会话  
select  *  from  AspStateTempSessions  

State Server  模式:存储在.NET服务中

	  <sessionState mode="StateServer" stateConnectionString=  "tcpip=127.0.0.1:8866  "    cookieless="false" timeout="20" /> 

总结：看了之后，我觉得，，，，能尽量不用session就尽量不用。

参考资料：

http://blog.csdn.net/nihongyuan/article/details/4139928