ASP.NET Session详解



(一) 描述

当用户在 Web 应用程序中导航 ASP.NET 页时，ASP.NET 会话状态使您能够存储和检索用户的值。HTTP 是一种无状态协议。这意味着 Web 服务器会将针对页面的每个 HTTP 请求作为独立的请求进行处理。服务器不会保留以前的请求过程中所使用的变量值的任何信息。

ASP.NET 会话状态将来自限定时间范围内的同一浏览器的请求标识为一个会话，当每个用户首次与这台WWW服务器建立连接时，他就与这个服务器建立了一个Session，同时服务器会自动为其分配一个SessionID，用以标识这个用户的唯一身份。Session提供用于在该会话持续期间内保留变量值的方法。默认情况下，将为所有 ASP.NET 应用程序启用ASP.NET 会话状态.

会话变量可以是任何有效的 .NET Framework 类型, 注意：当使用 InProc 以外的会话状态模式时，会话变量类型必须为基元 .NET 类型或可序列化的类型。这是因为会话变量值存储在外部数据存储区中。

会话由一个唯一标识符标识，可使用 SessionID 属性读取此标识符。为 ASP.NET 应用程序启用会话状态时，将检查应用程序中每个页面请求是否有浏览器发送的 SessionID 值。如果未提供任何 SessionID 值，则 ASP.NET 将启动一个新会话，并将该会话的 SessionID 值随响应一起发送到浏览器。

默认情况下，SessionID 值存储在 Cookie 中。但也可以将应用程序配置为在“无 Cookie”会话的 URL 中存储 SessionID 值。只要一直使用相同的 SessionID 值来发送请求，会话就被视为活动的。如果特定会话的请求间隔超过指定的超时值（以分钟为单位），则该会话被视为已过期。使用过期的 SessionID 值发送的请求将生成一个新的会话。

安全说明：

无论是作为 Cookie 还是作为 URL 的一部分，System.Web.SessionState.HttpSessionState.SessionID 值都以明文的形式发送。恶意用户通过获取 SessionID 值并将其包含在对服务器的请求中，可以访问另一位用户的会话。如果您将敏感信息存储在会话状态中，建议使用 SSL 来加密浏览器和服务器之间包含 SessionID 值的任何通信。

默认情况下，SessionID 值存储在浏览器的不过期会话 Cookie 中。但是，通过在 Web.config 文件的 sessionState 节中将 cookieless 属性设置为 true，可以指定不应将会话标识符存储在 Cookie 中。

<configuration>
  <system.web>
    <sessionState cookieless="true"
      regenerateExpiredSessionId="true" />
  </system.web>
< /configuration>

ASP.NET 通过自动在页的 URL 中插入唯一的会话 ID 来保持无 Cookie 会话状态。例如，下面的 URL 已被 ASP.NET 修改，以包含唯一的会话 ID lit3py55t21z5v55vlm25s55：
http://www.example.com/(S(lit3py55t21z5v55vlm25s55))/orderform.aspx

（二）配置会话状态

通过使用 system.web 配置节的 sessionState 元素可配置会话状态。还可以通过使用 @ Page 指令中的 EnableSessionState 值来配置会话状态。

使用 sessionState 元素可指定以下选项：

• 会话存储数据所使用的模式。

• 在客户端和服务器间发送会话标识符值的方式。

• 会话的 Timeout 值。

• 支持基于会话 Mode 设置的值。

下面的示例演示一个 sessionState 元素，该元素将配置应用程序的 SQLServer 会话模式。该元素将 Timeout 值设置为 30 分钟，并指定将会话标识符存储在 URL 中。