初试牛刀的收获-浅尝session

if (myRead.HasRows)//bool sqldatareader.hasrows获取一个值，该值指示system.data.sqlclient.sqldatareader是否包含一行或多行.
Session["userid"] = myRead.GetValue(0);//获取以本机格式表示的指定列的值;
Session["roleid"]=myRead.GetValue(1);//获取以本机格式表示的指定列的值;
Response.Write("<script language='JavaScript'>alert('用户名或密码不正确，请重新登陆！');</script>");

-----------------------------------
.net身份验证方案(防止重复登陆,session超时)kgoo 发表于 2006-1-18 18:07:00
一．设置web.config相关选项

1、先启用窗体身份验证和默认登陆页,如下。
<authentication  mode="Forms">
              <forms  loginUrl="default.aspx"></forms>
</authentication>

2、设置网站可以匿名访问，如下
<authorization>
                      <allow  users="*"  />
</authorization>

3、然后设置跟目录下的admin目录拒绝匿名登陆，如下。注意这个小节在System.Web小节下面。
<location  path="admin">
              <system.web>
                      <authorization>
                            <deny  users="?"></deny>
                      </authorization>
              </system.web>
</location>

4、把http请求和发送的编码设置成GB2312,否则在取查询字符串的时候会有问题，如下。
<globalization  requestEncoding="gb2312"  responseEncoding="gb2312"  />

5、设置session超时时间为1分钟，并启用cookieless，如下。
<sessionState  mode="InProc"  cookieless="true"  timeout="1"  />

6、为了启用页面跟踪，我们先启用每一页的trace，以便我们方便的调试，如下。
<trace  enabled="true"  requestLimit="1000"  pageOutput="true"  traceMode="SortByTime"  localOnly="true"  />

二．设置Global.asax文件

处理Application_Start方法，实例化一个哈西表，然后保存在Cache里
protected void Application_Start(Object sender,EventArgs e)
{
Hashtable h=new Hashtable();
Context.Cache.Insert("online",h);
}
在Session_End方法里调用LogoutCache()方法，方法源码如下

///清除Cache里当前的用户,主要在Global.asax的Session_End方法和用户注销的方法里调用
public void LogoutCache()
{
Hashtable h=(Hashtable)Context.Cache["online"];
if(h!=null)
{
if(h[Session.SessionID]!=null)
h.Remove(Session.SessionID);
Context.Cache["online"]=h;
}
}
三．设置相关的登陆和注销代码

登陆前调用PreventRepeatLogin()方法，这个方法可以防止用户重复登陆，如果上次用户登陆超时大于1分钟，也就是关闭了所有

admin目录下的页面达到60秒以上，就认为上次登陆的用户超时，你就可以登陆了，如果不超过60秒，就会生成一个自定义异常。
在Cache["online"]里保存了一个哈西表,哈西表的key是当前登陆用户的SessionID,而Value是一个ArrayList,这个ArrayList有两个

元素,第一个是用户登陆的名字第二个元素是用户登陆的时间,然后在每个admin目录下的页刷新页面的时候会更新当前登陆用户的登

陆时间,而只admin目录下有一个页打开着,即使不手工向服务器发送请求,也会自动发送一个请求更新登陆时间,下面我在页面基类里

写了一个函数来做到这一点,其实这会增加服务器的负担,但在一定情况下也是一个可行的办法.
///防止用户重复登陆,在用户将要身份验证前使用
///要验证的用户名字
private void PreventRepeatLogin(stringname)
{
Hashtable h=(Hashtable)Cache["online"];
if(h!=null)
{
IDictionaryEnumeratore1=h.GetEnumerator();
boolflag=false;
while(e1.MoveNext())
{
if((string)((ArrayList)e1.Value)[0]==name)
{
flag=true;
break;
}
}

if(flag)
{
TimeSpants=System.DateTime.Now.Subtract(Convert.ToDateTime(((ArrayList)e1.Value)[1]));
if(ts.TotalSeconds<60)
thrownewoa.cls.MyException("对不起，你输入的账户正在被使用中，如果你是这个账户的真正主人，请在下次登陆时及时的更改

你的密码，因为你的密码极有可能被盗窃了!");
else
h.Remove(e1.Key);
}
}
else
{
h=newHashtable();
}

ArrayListal=newArrayList();
al.Add(name);
al.Add(System.DateTime.Now);
h[Session.SessionID]=al;
if(Cache["online"]==null)
{
Context.Cache.Insert("online",h);
}else
Cache["Online"]=h;
}
用户注销的时候调用上面提到LogoutCache()方法
四．设置admin目录下的的所有页面的基类
usingSystem;
usingSystem.Web;
usingSystem.Web.UI;
usingSystem.Web.UI.WebControls;
usingSystem.Web.UI.HtmlControls;
usingSystem.Collections;
namespaceoa.cls
{
publicclassMyBasePage:System.Web.UI.Page
{
///获取本页是否在受保护目录,我这里整个程序在OA的虚拟目录下,受保护的目录是admin目录
protectedboolIsAdminDir
{
get
{
returnRequest.FilePath.IndexOf("/oa/admin")==0;
}
}
///防止session超时,如果超时就注销身份验证并提示和转向到网站默认页
private void PreventSessionTimeout()
{
if(!this.IsAdminDir)return;
if(Session["User_Name"]==null&&this.IsAdminDir)
{
System.Web.Security.FormsAuthentication.SignOut();
this.Alert("登陆超时",Request.ApplicationPath)
}
}
///每次刷新本页面的时候更新Cache里的登陆时间选项,在下面的OnInit方法里调用.
privatevoidUpdateCacheTime()
{
Hashtableh=(Hashtable)Cache["online"];
if(h!=null)
{
((ArrayList)h[Session.SessionID])[1]=DateTime.Now;
}
Cache["Online"]=h;
}
///在跟踪里输出一个HashTable的所有元素,在下面的OnInit方法里调用.以便方便的观察缓存数据
privatevoidTraceValues(HashtablemyList)
{
IDictionaryEnumeratormyEnumerator=myList.GetEnumerator();
inti=0;
while(myEnumerator.MoveNext())
{
Context.Trace.Write("onlineSessionID"+i,myEnumerator.Key.ToString());
ArrayListal=(ArrayList)myEnumerator.Value;
Context.Trace.Write("onlineName"+i,al[0].ToString());
Context.Trace.Write("onlineTime"+i,al[1].ToString());
TimeSpants=System.DateTime.Now.Subtract(Convert.ToDateTime(al[1].ToString()));
Context.Trace.Write("当前的时间和此登陆时间间隔的秒数",ts.TotalSeconds.ToString());
i++;
}
}
///弹出信息并返回到指定页
///弹出的消息
///指定转向的页面
protected void Alert(stringmsg,stringurl)
{
stringｓｃｒｉｐｔString="<ｓｃｒｉｐｔlanguage=JavaScript>alert(\""+msg+"\");location.href=\""+url+"\"";
if(!this.IsStartupScriptRegistered("alert"))
this.RegisterStartupScript("alert",ｓｃｒｉｐｔString);
}
///为了防止常时间不刷新页面造成会话超时,这里写一段脚本,每隔一分钟向本页发送一个请求以维持会话不被超时，这里用的是

xmlhttp的无刷新请求
///这个方法也在下面的OnInit方法里调用
protected void XmlReLoad()
{
System.Text.StringBuilderhtmlstr=newSystem.Text.StringBuilder();
htmlstr.Append("");
htmlstr.Append("functionGetMessage(){");
htmlstr.Append("varxh=newActiveXObject(\"Microsoft.XMLHTTP\");");
htmlstr.Append("xh.open(\"get\",window.location,false);");
htmlstr.Append("xh.send();");
htmlstr.Append("window.setTimeout(\"GetMessage()\",60000);");
htmlstr.Append("}");
htmlstr.Append("window.οnlοad=GetMessage();");
htmlstr.Append("");
if(!this.IsStartupScriptRegistered("xmlreload"))
this.RegisterStartupScript("alert",htmlstr.ToString());
}
overrideprotectedvoidOnInit(EventArgse)
{
base.OnInit(e);
this.PreventSessionTimeout();
this.UpdateCacheTime();
this.XmlReLoad();
if(this.Cache["online"]!=null)
{
this.TraceValues((System.Collections.Hashtable)Cache["online"]);
}
}
}
}

五．写一个自定义异常类
首先要在跟目录下写一个错误显示页面ShowErr.aspx，这个页面根据传递过来的查询字符串msg的值，在一个Label上显示错误信息

。
usingSystem;
namespaceoa.cls
{
///MyException的摘要说明。
publicclassMyException:ApplicationException
{
///构造函数
publicMyException():base()
{
}
///构造函数
///异常消息
publicMyException(stringMessage):base(Message)
{
System.Web.HttpContext.Current.Response.Redirect("~/ShowErr.aspx?msg="+Message);
}

///构造函数
///异常消息
///引起该异常的异常类
publicMyException(stringMessage,ExceptionInnerException):base(Message,InnerException)
{
}

}
}

六．总结
我发现在Session里保存的值，比如session["name"]是没有任何向服务器的请求达到1分钟后就会自动丢失,但是sessionID是关闭同

一进程的浏览器页面后达1分钟后才会丢失并更换的,因为只要你开着浏览器就会有sessionID,无论是在url里保存还是在cookies里

。不知道这个结论对不对，反正我在设置了session的timeout为1分钟后，session["name"]的值已经没有了，可是SessionID还是旧

的，Global.asax里的Session_End里的代码也没有执行，而身份验证票据也没有丢失。我不知道这三者之间的关系是怎样的，谁先

谁后，好像在小节可以设置一个timeout属性，不过项目赶的紧，我没时间研究了。

以上这些代码比较零散，我花费了2天的时间才总结出来这套方案，不是很完美，但是暂时只能这样了，不能在这方面浪费很多时间

了，大家可以把上面的代码组织到一个类里，然后把方法都修改成静态方法方便调用。
----------------------------------
以上内容来自网络收集，并非原创。在学习过程中遇到很多问题，没想到网络上的好心人已经将解决问题的办法公布出来了，谢谢这些好心人的支持。

转载于:https://www.cnblogs.com/creazygirl/archive/2006/06/19/429591.html