Session模型简介
Session 是什么呢?简单来说就是服务器给客户端的一个编号。当一台WWW服务器运行时,可能有若干个用户浏览正在运正在这台服务器上的网站。当每个用户首次与这台 WWW服务器建立连接时,他就与这个服务器建立了一个Session,同时服务器会自动为其分配一个SessionID,用以标识这个用户的唯一身份。这 个SessionID是由WWW服务器随机产生的一个由24个字符组成的字符串,我们会在下面的实验中见到它的实际样子。
这个唯一的 SessionID是有很大的实际意义的。当一个用户提交了表单时,浏览器会将用户的SessionID自动附加在HTTP头信息中,(这是浏览器的自动 功能,用户不会察觉到),当服务器处理完这个表单后,将结果返回给SessionID所对应的用户。试想,如果没有SessionID,当有两个用户同时 进行注册时,服务器怎样才能知道到底是哪个用户提交了哪个表单呢。当然,SessionID还有很多其他的作用,我们会在后面提及到。
除了 SessionID,在每个Session中还包含很多其他信息。但是对于编写ASP或ASP.NET的程序与来说,最有用的还是可以通过访问 ASP/ASP.NET的内置Session对象,为每个用户存储各自的信息。
ASP Session的功能的缺陷
目前ASP的开发人员都正在使用Session这一强大的功能,但是在他们使用的过程中却发现了ASP Session有以下缺陷:
- 进程依赖性:ASP Session状态存于IIS的进程中,也就是inetinfo.exe这个程序。所以当inetinfo.exe进程崩溃时,这些信息也就丢失。另外,重起或者关闭IIS服务都会造成信息的丢失。
- Session 状态使用范围的局限性:刚一个用户从一个网站访问到另外一个网站时,这些Session信息并不会随之迁移过去。例如:新浪网站的WWW服务器可能不止一 个,一个用户登录之后要去各个频道浏览,但是每个频道都在不同的服务器上,如果想在这些WWW服务器共享Session信息怎么办呢?
- Cookie的依赖性:实际上客户端的Session信息是存储与Cookie中的,如果客户端完全禁用掉了Cookie功能,他也就不能享受到了Session提供的功能了。
Web.config文件中的Session配置信息
打开某个应用程序的配置文件Web.config后,我们会发现以下这段:
<sessionState mode="InProc" stateConnectionString="tcpip=127.0.0.1:42424" sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes" cookieless="false" timeout="20" /> |
这一段就是配置应用程序是如何存储Session信息的了。我们以下的各种操作主要是针对这一段配置展开。让我们先看看这一段配置中所包含的内容的意思。
sessionState节点的语法是这样的:
必须有的属性是
属性 | 选项 | 描述 |
mode | 设置将Session信息存储到哪里 | |
Off | 设置为不使用Session功能 | |
InProc | 设置为将Session存储在进程内,就是ASP中的存储方式,这是默认值。 | |
StateServer | 设置为将Session存储在独立的状态服务中。 | |
SQLServer | 设置将Session存储在SQL Server中。 |
可选的属性是:
属性 | 选项 | 描述 |
cookieless | 设置客户端的Session信息存储到哪里 | |
ture | 使用Cookieless模式 | |
false | 使用Cookie模式,这是默认值。 | |
timeout | 设置经过多少分钟后服务器自动放弃Session信息。默认为20分钟 | |
stateConnectionString | 设置将Session信息存储在状态服务中时使用的服务器名称和端口号,例如:"tcpip=127.0.0.1:42424”。当mode的值是StateServer是,这个属性是必需的。 | |
sqlConnectionString | 设置与SQL Server连接时的连接字符串。例如"data source=localhost;Integrated Security=SSPI;Initial Catalog=northwind"。当mode的值是SQLServer时,这个属性是必需的。 | |
stateNetworkTimeout | 设置当使用StateServer模式存储Session状态时,经过多少秒空闲后,断开Web服务器与存储状态信息的服务器的TCP/IP连接的。默认值是10秒钟。 |
session是一个HttpSessionState类型的对象,那我看看这个类倒底提供了哪些东西可用,查了下MSDN,有很多东西,但我想比较有趣的有:
Session.Count 指示当前会话集合中的项目数。
Session.SessionID 指示当前客户端会话的SessionID。
IsCookieless 指示当前会话ID是存储在cookie中还是嵌入在URL中。
Timeout 指示了当前会话要保存多长时间,因为客户端不会请求销毁Session数据,所以这些数据要等一定的时间后自动由服务端释放。
Abandon() 使用该方法可以立即取消当前会话并释放它战胜的空间,在退出页面中它很有效,能够确保服务器资源最快得到回收。
Clear() 该方法在不改变当前会话ID的情况下清空所有的会话项目。
Session数据也是由 SessionStateModule这个模块来负责处理的,但它并不保存会话数据,数据是放在称做 SessionState Provider 的东西中的,有三种典型的Provider 方式: InProc ,StateServer ,SQLServer 。
InProc: 设置为将Session存储在进程内,跟ASP中的存储方式一样,这是默认值。
StateServer :设置为将Session存储在独立的状态服务中。
SQLServer: 设置将Session存储在SQL Server中。
Session信息什么情况下失效:
1:用户关闭并重启浏览器,这时候再请求同一个页面,尽管Session仍然在,但是因为这次又生成了新的SessionID,所以旧的Session已经不可用了。
2:用户通过另一个浏览器窗口访问在同一页面,这时候不同的浏览器有不同的处理方法,有些Session仍然可用,有些不可用。
3:由于没有活动导致会话超时,默认情况下是20分钟闲置后就会超时。
4:程序中调用了Session.Abandon()方法结束了会话。