讀后感:
看完這篇文章后,說(shuō)真的,我還是有很多方面不懂,因為我才剛接觸ASP.NET不久,現在腦里只有個(gè)很模糊的概念,而這篇文章讓我對ASP.NET Session有了新的認識,估計已經(jīng)有很多朋友已經(jīng)看過(guò),不過(guò)我相信也有很多和我一樣初接觸ASP.NET的朋友在尋找類(lèi)似的文章,不敢獨享,拿出來(lái)大家分享。
以下是原文信息:
原創(chuàng ):heallven
網(wǎng)址:http://www.frontfree.net/view/article_742_page1.html
網(wǎng)站:北京工業(yè)大學(xué)放飛技術(shù)網(wǎng)
在這里,我要謝謝Heallven提供這么好的文章。
=============================================
ASP.NET Session詳解

閱讀本文章之前的準備

閱讀本文章前,需要讀者對以下知識有所了解。否則,閱讀過(guò)程中會(huì )在相應的內容上遇到不同程度的問(wèn)題。

  • 懂得ASP/ASP.NET編程
  • 了解ASP/ASP.NET的Session模型
  • 了解ASP.NET Web應用程序模型
  • 了解ASP.NET Web應用程序配置文件Web.config的作用、意義及使用方法
  • 了解Internet Information Services(以下簡(jiǎn)稱(chēng)IIS)的基本使用方法
  • 了解如何在Microsoft SQL Server中創(chuàng )建一個(gè)數據庫。

Session模型簡(jiǎn)介

Session 是什么呢?簡(jiǎn)單來(lái)說(shuō)就是服務(wù)器給客戶(hù)端的一個(gè)編號。當一臺WWW服務(wù)器運行時(shí),可能有若干個(gè)用戶(hù)瀏覽正在運正在這臺服務(wù)器上的網(wǎng)站。當每個(gè)用戶(hù)首次與這臺 WWW服務(wù)器建立連接時(shí),他就與這個(gè)服務(wù)器建立了一個(gè)Session,同時(shí)服務(wù)器會(huì )自動(dòng)為其分配一個(gè)SessionID,用以標識這個(gè)用戶(hù)的唯一身份。這個(gè)SessionID是由WWW服務(wù)器隨機產(chǎn)生的一個(gè)由24個(gè)字符組成的字符串,我們會(huì )在下面的實(shí)驗中見(jiàn)到它的實(shí)際樣子。

這個(gè)唯一的 SessionID是有很大的實(shí)際意義的。當一個(gè)用戶(hù)提交了表單時(shí),瀏覽器會(huì )將用戶(hù)的SessionID自動(dòng)附加在HTTP頭信息中,(這是瀏覽器的自動(dòng)功能,用戶(hù)不會(huì )察覺(jué)到),當服務(wù)器處理完這個(gè)表單后,將結果返回給SessionID所對應的用戶(hù)。試想,如果沒(méi)有SessionID,當有兩個(gè)用戶(hù)同時(shí)進(jìn)行注冊時(shí),服務(wù)器怎樣才能知道到底是哪個(gè)用戶(hù)提交了哪個(gè)表單呢。當然,SessionID還有很多其他的作用,我們會(huì )在后面提及到。

除了 SessionID,在每個(gè)Session中還包含很多其他信息。但是對于編寫(xiě)ASP或ASP.NET的程序與來(lái)說(shuō),最有用的還是可以通過(guò)訪(fǎng)問(wèn) ASP/ASP.NET的內置Session對象,為每個(gè)用戶(hù)存儲各自的信息。例如我們想了解一下訪(fǎng)問(wèn)我們網(wǎng)站的用戶(hù)瀏覽了幾個(gè)頁(yè)面,我們可能在用戶(hù)可能訪(fǎng)問(wèn)到每個(gè)的頁(yè)面中加入:

<%
If Session("PageViewed") = ""Then
 Session("PageViewed") = 1
Else
 Session("PageViewed") = Session("PageViewed") + 1
End If
%>

通過(guò)以下這句話(huà)可以讓用戶(hù)得知自己瀏覽了幾個(gè)頁(yè)面:

<%
Response.Write("You have viewed " & Session("PageViewed") & " pages")
%>

可能有些有些讀者會(huì )問(wèn):這個(gè)看似像是數組的Session(“..”)是哪里來(lái)的?需要我定義嗎?實(shí)際上,這個(gè)Session對象是具有ASP解釋能力的的 WWW服務(wù)器的內建對象。也就是說(shuō)ASP的系統中已經(jīng)給你定義好了這個(gè)對象,你只需要使用就行了。其中Session(“..”)中的..就好像變量名稱(chēng),Session(“..”)=$$$中的$$$就是變量的值了。你只需要寫(xiě)上句話(huà),在這個(gè)用戶(hù)的每個(gè)頁(yè)面中都可以訪(fǎng)問(wèn)..變量中的值了。

其實(shí)ASP一共內建了7個(gè)對象,有Session、Application、Cookie、Response、Request、Server等。在其他的服務(wù)器端腳本語(yǔ)言如JSP、PHP等中也有其類(lèi)似的對象,只是叫法或者使用方法上不太一樣。

ASP Session的功能的缺陷

目前ASP的開(kāi)發(fā)人員都正在使用Session這一強大的功能,但是在他們使用的過(guò)程中卻發(fā)現了ASP Session有以下缺陷:

  • 進(jìn)程依賴(lài)性:ASP Session狀態(tài)存于IIS的進(jìn)程中,也就是inetinfo.exe這個(gè)程序。所以當inetinfo.exe進(jìn)程崩潰時(shí),這些信息也就丟失。另外,重起或者關(guān)閉IIS服務(wù)都會(huì )造成信息的丟失。
  • Session 狀態(tài)使用范圍的局限性:剛一個(gè)用戶(hù)從一個(gè)網(wǎng)站訪(fǎng)問(wèn)到另外一個(gè)網(wǎng)站時(shí),這些Session信息并不會(huì )隨之遷移過(guò)去。例如:新浪網(wǎng)站的WWW服務(wù)器可能不止一個(gè),一個(gè)用戶(hù)登錄之后要去各個(gè)頻道瀏覽,但是每個(gè)頻道都在不同的服務(wù)器上,如果想在這些WWW服務(wù)器共享Session信息怎么辦呢?
  • Cookie的依賴(lài)性:實(shí)際上客戶(hù)端的Session信息是存儲與Cookie中的,如果客戶(hù)端完全禁用掉了Cookie功能,他也就不能享受到了Session提供的功能了。

鑒于A(yíng)SP Session的以上缺陷,微軟的設計者們在設計開(kāi)發(fā) ASP.NET Session時(shí)進(jìn)行了相應的改進(jìn),完全克服了以上缺陷,使得ASP.NET Session成為了一個(gè)更加強大的功能。

Web.config文件簡(jiǎn)介

有的ASP.NET程序員說(shuō):Web.config文件?我從來(lái)沒(méi)有聽(tīng)說(shuō)過(guò)啊,可是我寫(xiě)的程序不是也能很正常的運轉嗎?是的,你說(shuō)得沒(méi)錯,沒(méi)有 Web.config文件程序是可以正常運行的。但是,如果你做了一個(gè)大型的網(wǎng)站,需要對整個(gè)網(wǎng)站做一些整體配置,例如整個(gè)網(wǎng)站的頁(yè)面使用何種語(yǔ)言編寫(xiě)的、網(wǎng)站的安全認證模式、Session信息存儲方式等,這時(shí)你就需要使用Web.config文件了。雖然Web.config文件中的某些選項是可以通過(guò)IIS配置的,但是如果在Web.config中也有相應的設置就會(huì )覆蓋掉IIS中的配置。而且,Web.config文件的最大的便利之處就是可以在A(yíng)SP.NET頁(yè)面中通過(guò)調用System.web名字空間訪(fǎng)問(wèn)Web.config中的設置。

Web.config有兩種,分別是服務(wù)器配置文件和Web應用程序配置文件,他們都名為Web.config。在這個(gè)配置文件中會(huì )保存當前IIS服務(wù)器中網(wǎng)頁(yè)的使用哪種語(yǔ)言編寫(xiě)的、應用程序安全認證模式、Session信息存儲方式的一系列信息。這些信息是使用XML語(yǔ)法保存的,如果想對其編輯,使用文本編輯器就行了。

其中服務(wù)器配置文件會(huì )對IIS服務(wù)器下所有的站點(diǎn)中的所有應用程序起作用。在.NET Framework 1.0中,服務(wù)器的Web.config文件是存在:\WinNT\Microsoft.NET\Framework\v1.0.3705中的。

而Web 應用程序配置文件Web.config則保存在各個(gè)Web應用程序中。例如:當前網(wǎng)站的根目錄\Inetpub\wwwroot,而當前的Web應用程序為MyApplication,則Web應用程序根目錄就應為:\Inetpub\wwwroot\MyApplication。如果你的網(wǎng)站有且只有一個(gè)Web應用程序,一般說(shuō)來(lái)應用程序的根目錄就是\Inetpub\wwwroot。如果想添加一個(gè)Web應用程序,在IIS中添加一個(gè)具有應用程序起始點(diǎn)的虛擬目錄就行了。這個(gè)目錄下的文件及目錄將被視為一個(gè)Web應用程序。但是,這樣通過(guò)IIS添加Web應用程序是不會(huì )為你生成Web.config文件的。如果想創(chuàng )建一個(gè)帶有Web.config文件的Web應用程序,需要使用Visual Studio.NET,新建一個(gè)Web應用程序項目。

Web應用程序的配置文件Web.config是可選的,可有可無(wú)。如果沒(méi)有,每個(gè)Web應用程序會(huì )使用服務(wù)器的Web.config配置文件。如果有,則會(huì )覆蓋服務(wù)器Web.config配置文件中相應的值。

在A(yíng)SP.NET中,Web.config修改保存后會(huì )自動(dòng)立刻成效,不用再像ASP中的配置文件修改后需要重新啟動(dòng)Web應用程序才能生效了。

Web.config文件中的Session配置信息

打開(kāi)某個(gè)應用程序的配置文件Web.config后,我們會(huì )發(fā)現以下這段:

<sessionState
  mode="InProc"
  stateConnectionString="tcpip=127.0.0.1:42424"
  sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
  cookieless="false"
  timeout="20"
/>

這一段就是配置應用程序是如何存儲Session信息的了。我們以下的各種操作主要是針對這一段配置展開(kāi)。讓我們先看看這一段配置中所包含的內容的意思。sessionState節點(diǎn)的語(yǔ)法是這樣的:

<sessionState mode="Off|InProc|StateServer|SQLServer"
              cookieless="true|false"
              timeout="number of minutes"
              stateConnectionString="tcpip=server:port"
              sqlConnectionString="sql connection string"
              stateNetworkTimeout="number of seconds"
/>

必須有的屬性是

屬性選項描述
mode
設置將Session信息存儲到哪里

Off設置為不使用Session功能

InProc設置為將Session存儲在進(jìn)程內,就是ASP中的存儲方式,這是默認值。

StateServer設置為將Session存儲在獨立的狀態(tài)服務(wù)中。

SQLServer設置將Session存儲在SQL Server中。

可選的屬性是:

屬性選項描述
cookieless
設置客戶(hù)端的Session信息存儲到哪里

ture使用Cookieless模式

false使用Cookie模式,這是默認值。
timeout
設置經(jīng)過(guò)多少分鐘后服務(wù)器自動(dòng)放棄Session信息。默認為20分鐘
stateConnectionString
設置將Session信息存儲在狀態(tài)服務(wù)中時(shí)使用的服務(wù)器名稱(chēng)和端口號,例如:"tcpip=127.0.0.1:42424”。當mode的值是StateServer是,這個(gè)屬性是必需的。
sqlConnectionString
設置與SQL Server連接時(shí)的連接字符串。例如"data source=localhost;Integrated Security=SSPI;Initial Catalog=northwind"。當mode的值是SQLServer時(shí),這個(gè)屬性是必需的。
stateNetworkTimeout
設置當使用StateServer模式存儲Session狀態(tài)時(shí),經(jīng)過(guò)多少秒空閑后,斷開(kāi)Web服務(wù)器與存儲狀態(tài)信息的服務(wù)器的TCP/IP連接的。默認值是10秒鐘。

ASP.NET中客戶(hù)端Session狀態(tài)的存儲

在我們上面的Session模型簡(jiǎn)介中,大家可以發(fā)現Session狀態(tài)應該存儲在兩個(gè)地方,分別是客戶(hù)端和服務(wù)器端??蛻?hù)端只負責保存相應網(wǎng)站的 SessionID,而其他的Session信息則保存在服務(wù)器端。在A(yíng)SP中,客戶(hù)端的SessionID實(shí)際是以Cookie的形式存儲的。如果用戶(hù)在瀏覽器的設置中選擇了禁用Cookie,那末他也就無(wú)法享受Session的便利之處了,甚至造成不能訪(fǎng)問(wèn)某些網(wǎng)站。為了解決以上問(wèn)題,在 ASP.NET中客戶(hù)端的Session信息存儲方式分為:Cookie和Cookieless兩種。

ASP.NET中,默認狀態(tài)下,在客戶(hù)端還是使用Cookie存儲Session信息的。如果我們想在客戶(hù)端使用Cookieless的方式存儲Session信息的方法如下:

找到當前Web應用程序的根目錄,打開(kāi)Web.Config文件,找到如下段落:

<sessionState
  mode="InProc"
  stateConnectionString="tcpip=127.0.0.1:42424"
  sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
  cookieless="false"
  timeout="20"
/>

這段話(huà)中的cookieless="false"改為:cookieless="true",這樣,客戶(hù)端的Session信息就不再使用Cookie存儲了,而是將其通過(guò)URL存儲。關(guān)閉當前的IE,打開(kāi)一個(gè)新IE,重新訪(fǎng)問(wèn)剛才的Web應用程序,就會(huì )看到類(lèi)似下面的樣子:

其中,http://localhost/MyTestApplication/(ulqsek45heu3ic2a5zgdl245)/default.aspx中黑體標出的就是客戶(hù)端的Session ID。注意,這段信息是由IIS自動(dòng)加上的,不會(huì )影響以前正常的連接。

ASP.NET中服務(wù)器端Session狀態(tài)的存儲

準備工作

為了您能更好的體驗到實(shí)驗現象,您可以建立一個(gè)叫做SessionState.aspx的頁(yè)面,然后把以下這些代碼添加到<body></body>中。

<scriptrunat="server">
Sub Session_Add(sender As Object, e As EventArgs)
   Session("MySession") = text1.Value
   span1.InnerHtml = "Session data updated! <P>Your session contains: <font color=red>" & \
            Session("MySession").ToString() & "</font>"
End Sub

Sub CheckSession(sender As Object, eAs EventArgs)
   If (Session("MySession")Is Nothing) Then
    span1.InnerHtml = "NOTHING, SESSION DATA LOST!"
   Else
    span1.InnerHtml = "Your session contains: <font color=red>" & \
             Session("MySession").ToString() & "</font>"
End If
End Sub
</script>
<formrunat="server"id="Form2">
   <inputid="text1"type="text"runat="server"name="text1">
   <inputtype="submit"runat="server"OnServerClick="Session_Add"
      value="Add to Session State" id="Submit1"name="Submit1">
   <inputtype="submit"runat="server"OnServerClick="CheckSession"
      value="View Session State" id="Submit2"name="Submit2">
</form>
<hrsize="1">
<fontsize="6"><spanid="span1"runat="server" /></font>

這個(gè)SessionState.aspx的頁(yè)面可以用來(lái)測試在當前的服務(wù)器上是否丟失了Session信息。

將服務(wù)器Session信息存儲在進(jìn)程中

讓我們來(lái)回到Web.config文件的剛才那段段落中:

<sessionState
  mode="InProc"
  stateConnectionString="tcpip=127.0.0.1:42424"
  sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
  cookieless="false"
  timeout="20"
/>

mode的值是InProc時(shí),說(shuō)明服務(wù)器正在使用這種模式。

這種方式和以前ASP中的模式一樣,就是服務(wù)器將Session信息存儲在IIS進(jìn)程中。當IIS關(guān)閉、重起后,這些信息都會(huì )丟失。但是這種模式也有自己最大好處,就是性能最高。應為所有的Session信息都存儲在了IIS的進(jìn)程中,所以IIS能夠很快的訪(fǎng)問(wèn)到這些信息,這種模式的性能比進(jìn)程外存儲 Session信息或是在SQL Server中存儲Session信息都要快上很多。這種模式也是ASP.NET的默認方式。

好了,現在讓我們做個(gè)試驗。打開(kāi)剛才的SessionState.aspx頁(yè)面,隨便輸入一些字符,使其存儲在Session中。然后,讓我們讓IIS重起。注意,并不是使當前的站點(diǎn)停止再開(kāi)始,而是在IIS中本機的機器名的節點(diǎn)上點(diǎn)擊鼠標右鍵,選擇重新啟動(dòng)IIS。(想當初使用NT4時(shí),重新啟動(dòng)IIS必須要重新啟動(dòng)計算機才行,微軟真是@#$%^&)返回到SessionState.aspx頁(yè)面中,檢查剛才的Session信息,發(fā)現信息已經(jīng)丟失了。

將服務(wù)器Session信息存儲在進(jìn)程外

首先,讓我們來(lái)打開(kāi)管理工具->服務(wù),找到名為:ASP.NET State Service的服務(wù),啟動(dòng)它。實(shí)際上,這個(gè)服務(wù)就是啟動(dòng)一個(gè)要保存Session信息的進(jìn)程。啟動(dòng)這個(gè)服務(wù)后,你可以從Windows任務(wù)管理器- >進(jìn)程中看到一個(gè)名為aspnet_state.exe的進(jìn)程,這個(gè)就是我們保存Session信息的進(jìn)程。

然后,回到Web.config文件中上述的段落中,將mode的值改為StateServer。保存文件后的重新打開(kāi)一個(gè)IE,打開(kāi)SessionState.aspx頁(yè)面,保存一些信息到Session中。這時(shí),讓我們重起IIS,再回到SessionState.aspx頁(yè)面中查看剛才的Session信息,發(fā)現沒(méi)有丟失。

實(shí)際上,這種將Session信息存儲在進(jìn)程外的方式不光指可以將信息存儲在本機的進(jìn)程外,還可以將Session信息存儲在其他的服務(wù)器的進(jìn)程中。這時(shí),不光需要將mode的值改為StateServer,還需要在stateConnectionString中配置相應的參數。例如你的計算你是192.168.0.1,你想把Session存儲在IP為192.168.0.2的計算機的進(jìn)程中,就需要設置成這樣:stateConnectionString="tcpip=192.168.0.2:42424"。當然,不要忘記在192.168.0.2的計算機中裝上.NET Framework,并且啟動(dòng)ASP.NET State Services服務(wù)。

將服務(wù)器Session信息存儲在SQL Server中

首先,還是讓我們來(lái)做一些準備工作。啟動(dòng)SQL Server和SQL Server代理服務(wù)。在SQL Server中執行一個(gè)叫做InstallSqlState.sql的腳本文件。這個(gè)腳本文件將在SQL Server中創(chuàng )建一個(gè)用來(lái)專(zhuān)門(mén)存儲Session信息的數據庫,及一個(gè)維護Session信息數據庫的SQL Server代理作業(yè)。我們可以在以下路徑中找到那個(gè)文件:

[system drive]\winnt\Microsoft.NET\Framework\[version]\

然后打開(kāi)查詢(xún)分析器,連接到SQL Server服務(wù)器,打開(kāi)剛才的那個(gè)文件并且執行。稍等片刻,數據庫及作業(yè)就建立好了。這時(shí),你可以打開(kāi)企業(yè)管理器,看到新增了一個(gè)叫ASPState的數據庫。但是這個(gè)數據庫中只是些存儲過(guò)程,沒(méi)有用戶(hù)表。實(shí)際上Session信息是存儲在了tempdb數據庫的 ASPStateTempSessions表中的,另外一個(gè)ASPStateTempApplications表存儲了ASP中Application對象信息。這兩個(gè)表也是剛才的那個(gè)腳本建立的。另外查看管理->SQL Server代理->作業(yè),發(fā)現也多了一個(gè)叫做ASPState_Job_DeleteExpiredSessions的作業(yè),這個(gè)作業(yè)實(shí)際上就是每分鐘去ASPStateTempSessions表中刪除過(guò)期的Session信息的。

接著(zhù),我們返回到Web.config文件,修改mode的值改為SQLServer。注意,還要同時(shí)修改sqlConnectionString的值,格式為:sqlConnectionString="data source=localhost; Integrated Security=SSPI;",其中data source是指SQL Server服務(wù)器的IP地址,如果SQL Server與IIS是一臺機子,寫(xiě)127.0.0.1就行了。Integrated Security=SSPI的意思是使用Windows集成身份驗證,這樣,訪(fǎng)問(wèn)數據庫將以ASP.NET的身份進(jìn)行,通過(guò)如此配置,能夠獲得比使用 userid=sa;password=口令的SQL Server驗證方式更好的安全性。當然,如果SQL Server運行于另一臺計算機上,你可能會(huì )需要通過(guò)Active Directory域的方式來(lái)維護兩邊驗證的一致性。

同樣,讓我們做個(gè)試驗。向SessionState.aspx中添加Session信息,這時(shí)發(fā)現Session信息已經(jīng)存在SQL Server中了,即使你重起計算機,剛才的Session信息也不會(huì )丟失?,F在,你已經(jīng)完全看見(jiàn)了Session信息到底是什么樣子的了,而且又是存儲在SQL Server中的,能干什么就看你的發(fā)揮了,哈哈。

總結

通過(guò)這篇文章,你可以看到在Session的管理和維護上,ASP.NET比ASP有了很大的進(jìn)步,我們可以更加隨意的挑選適合的方法了。對于企業(yè)級的應用來(lái)說(shuō),這無(wú)疑對于服務(wù)器的同步、服務(wù)器的穩定性、可靠性都是有利的。相信在強大的微軟支持下,新一代的電子商務(wù)平臺將會(huì )搭建的更好!

同時(shí),大家也會(huì )發(fā)現,在這個(gè)整個(gè)技術(shù)中包括了操作系統、 Web服務(wù)及數據庫多種技術(shù)的整合。我相信,也許Windows沒(méi)有Unix穩定,IIS沒(méi)有Apache穩定,SQL Server也沒(méi)有Oracle強大,但是,誰(shuí)可以將他們如此完美的聯(lián)動(dòng)到一起呢?所以說(shuō),雖然微軟每一方面都不是太強,但是如果把微軟的東西都整合到一起,誰(shuí)敢說(shuō)他不強大呢?微軟就是微軟!