ASP.NET的 Session 詳解

Session模型簡介

Session是什麼呢？簡單來講就是服務器給客戶端的一個編號。當一臺WWW服務器運行時，可能有若干個用戶瀏覽正在運正在這臺服務器上的網站。當每一個用戶首次與這臺WWW服務器創建鏈接時，他就與這個服務器創建了一個Session，同時服務器會自動爲其分配一個SessionID，用以標識這個用戶的惟一身份。這個SessionID是由WWW服務器隨機產生的一個由24個字符組成的字符串，咱們會在下面的實驗中見到它的實際樣子。 

這個惟一的SessionID是有很大的實際意義的。當一個用戶提交了表單時，瀏覽器會將用戶的SessionID自動附加在HTTP頭信息中，（這是瀏覽器的自動功能，用戶不會察覺到），當服務器處理完這個表單後，將結果返回給SessionID所對應的用戶。試想，若是沒有SessionID，當有兩個用戶同時進行註冊時，服務器怎樣才能知道究竟是哪一個用戶提交了哪一個表單呢。固然，SessionID還有不少其餘的做用，咱們會在後面說起到。 

除了SessionID，在每一個Session中還包含不少其餘信息。可是對於編寫ASP或ASP.NET的程序與來講，最有用的仍是能夠經過訪問 ASP/ASP.NET的內置Session對象，爲每一個用戶存儲各自的信息。例如咱們想了解一下訪問咱們網站的用戶瀏覽了幾個頁面，咱們可能在用戶可能訪問到每一個的頁面中加入：

<%
If Session("PageViewed") = ""Then
Session("PageViewed") = 1
Else
Session("PageViewed") = Session("PageViewed") + 1
End If
%>

經過如下這句話可讓用戶得知本身瀏覽了幾個頁面： 

<%
Response.Write("You have viewed " & Session("PageViewed") & " pages")
%> 

可能有些有些讀者會問：這個看似像是數組的Session(「..」)是哪裏來的？須要我定義嗎？實際上，這個Session對象是具備ASP解釋能力的的 WWW服務器的內建對象。也就是說ASP的系統中已經給你定義好了這個對象，你只須要使用就好了。其中Session(「..」)中的..就好像變量名稱，Session(「..」)=$$中的$$就是變量的值了。你只須要寫上句話，在這個用戶的每一個頁面中均可以訪問..變量中的值了。 

其實ASP一共內建了7個對象，有Session、Application、Cookie、Response、Request、Server等。在其餘的服務器端腳本語言如JSP、PHP等中也有其相似的對象，只是叫法或者使用方法上不太同樣。 

ASP Session的功能的缺陷

目前ASP的開發人員都正在使用Session這一強大的功能，可是在他們使用的過程當中卻發現了ASP Session有如下缺陷： 

進程依賴性：ASP Session狀態存於IIS的進程中，也就是inetinfo.exe這個程序。因此當inetinfo.exe進程崩潰時，這些信息也就丟失。另外，重起或者關閉IIS服務都會形成信息的丟失。

Session狀態使用範圍的侷限性：剛一個用戶從一個網站訪問到另一個網站時，這些Session信息並不會隨之遷移過去。例如：新浪網站的 WWW服務器可能不止一個，一個用戶登陸以後要去各個頻道瀏覽，可是每一個頻道都在不一樣的服務器上，若是想在這些WWW服務器共享Session信息怎麼辦呢？

Cookie的依賴性：實際上客戶端的Session信息是存儲與Cookie中的，若是客戶端徹底禁用掉了Cookie功能，他也就不能享受到了Session提供的功能了。

鑑於ASP Session的以上缺陷，微軟的設計者們在設計開發 ASP.NET Session時進行了相應的改進，徹底克服了以上缺陷，使得ASP.NET Session成爲了一個更增強大的功能。

Web.config文件簡介

有的ASP.NET程序員說：Web.config文件？我歷來沒有據說過啊，但是我寫的程序不是也能很正常的運轉嗎？是的，你說得沒錯，沒有 Web.config文件程序是能夠正常運行的。可是，若是你作了一個大型的網站，須要對整個網站作一些總體配置，例如整個網站的頁面使用何種語言編寫的、網站的安全認證模式、Session信息存儲方式等，這時你就須要使用Web.config文件了。雖然Web.config文件中的某些選項是能夠經過IIS配置的，可是若是在Web.config中也有相應的設置就會覆蓋掉IIS中的配置。並且，Web.config文件的最大的便利之處就是能夠在ASP.NET頁面中經過調用System.web名字空間訪問Web.config中的設置。 

Web.config有兩種，分別是服務器配置文件和Web應用程序配置文件，他們都名爲Web.config。在這個配置文件中會保存當前IIS服務器中網頁的使用哪一種語言編寫的、應用程序安全認證模式、Session信息存儲方式的一系列信息。這些信息是使用XML語法保存的，若是想對其編輯，使用文本編輯器就好了。 

其中服務器配置文件會對IIS服務器下全部的站點中的全部應用程序起做用。在.NET Framework 1.0中，服務器的Web.config文件是存在：\WinNT\Microsoft.NET\Framework\v1.0.3705中的。
而 Web應用程序配置文件Web.config則保存在各個Web應用程序中。例如：當前網站的根目錄\Inetpub\wwwroot，而當前的Web應用程序爲MyApplication，則Web應用程序根目錄就應爲：\Inetpub\wwwroot\MyApplication。若是你的網站有且只有一個Web應用程序，通常說來應用程序的根目錄就是\Inetpub\wwwroot。若是想添加一個Web應用程序，在IIS中添加一個具備應用程序起始點的虛擬目錄就好了。這個目錄下的文件及目錄將被視爲一個Web應用程序。可是，這樣經過IIS添加Web應用程序是不會爲你生成 Web.config文件的。若是想建立一個帶有Web.config文件的Web應用程序，須要使用Visual Studio.NET，新建一個Web應用程序項目。 

Web應用程序的配置文件Web.config是可選的，無關緊要。若是沒有，每一個Web應用程序會使用服務器的Web.config配置文件。若是有，則會覆蓋服務器Web.config配置文件中相應的值。 

在ASP.NET中，Web.config修改保存後會自動馬上成效，不用再像ASP中的配置文件修改後須要從新啓動Web應用程序才能生效了。 

Web.config文件中的Session配置信息

打開某個應用程序的配置文件Web.config後，咱們會發現如下這段：

<sessionState
mode="InProc"
stateConnectionString="tcpip=127.0.0.1:42424"
sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
cookieless="false"
timeout="20"
/>

這一段就是配置應用程序是如何存儲Session信息的了。咱們如下的各類操做主要是針對這一段配置展開。讓咱們先看看這一段配置中所包含的內容的意思。sessionState節點的語法是這樣的：

<sessionState mode="Off|InProc|StateServer|SQLServer"
cookieless="true|false"
timeout="number of minutes"
stateConnectionString="tcpip=server:port"
sqlConnectionString="sql connection string"
stateNetworkTimeout="number of seconds"
/> 


必須有的屬性是

屬性 選項 描述
mode 設置將Session信息存儲到哪裏
Off 設置爲不使用Session功能
InProc 設置爲將Session存儲在進程內，就是ASP中的存儲方式，這是默認值。
StateServer 設置爲將Session存儲在獨立的狀態服務中。
SQLServer 設置將Session存儲在SQL Server中。 

可選的屬性是：

屬性 選項 描述
cookieless 設置客戶端的Session信息存儲到哪裏
ture 使用Cookieless模式
false 使用Cookie模式，這是默認值。
timeout 設置通過多少分鐘後服務器自動放棄Session信息。默認爲20分鐘
stateConnectionString 設置將Session信息存儲在狀態服務中時使用的服務器名稱和端口號，例如："tcpip=127.0.0.1:42424」。當mode的值是StateServer是，這個屬性是必需的。
sqlConnectionString 設置與SQL Server鏈接時的鏈接字符串。例如"data source=localhost;Integrated Security=SSPI;Initial Catalog=northwind"。當mode的值是SQLServer時，這個屬性是必需的。
stateNetworkTimeout 設置當使用StateServer模式存儲Session狀態時，通過多少秒空閒後，斷開Web服務器與存儲狀態信息的服務器的TCP/IP鏈接的。默認值是10秒鐘。 

ASP.NET中客戶端Session狀態的存儲

在咱們上面的Session模型簡介中，你們能夠發現Session狀態應該存儲在兩個地方，分別是客戶端和服務器端。客戶端只負責保存相應網站的 SessionID，而其餘的Session信息則保存在服務器端。在ASP中，客戶端的SessionID實際是以Cookie的形式存儲的。若是用戶在瀏覽器的設置中選擇了禁用Cookie，那末他也就沒法享受Session的便利之處了，甚至形成不能訪問某些網站。爲了解決以上問題，在 ASP.NET中客戶端的Session信息存儲方式分爲：Cookie和Cookieless兩種。 

ASP.NET中，默認狀態下，在客戶端仍是使用Cookie存儲Session信息的。若是咱們想在客戶端使用Cookieless的方式存儲Session信息的方法以下： 

找到當前Web應用程序的根目錄，打開Web.Config文件，找到以下段落：

<sessionState
mode="InProc"
stateConnectionString="tcpip=127.0.0.1:42424"
sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
cookieless="false"
timeout="20"
/> 

這段話中的cookieless="false"改成：cookieless="true"，這樣，客戶端的Session信息就再也不使用Cookie存儲了，而是將其經過URL存儲。關閉當前的IE，打開一個新IE，從新訪問剛纔的Web應用程序，就會看到相似下面的樣子：

其中，http://www.89900.com 中黑體標出的就是客戶端的Session ID。注意，這段信息是由IIS自動加上的，不會影響之前正常的鏈接。 

ASP.NET中服務器端Session狀態的存儲

準備工做 

爲了您能更好的體驗到實驗現象，您能夠創建一個叫作SessionState.aspx的頁面，而後把如下這些代碼添加到<body></body>中。


<scriptrunat="server">
Sub Session_Add(sender As Object, e As EventArgs)
Session("MySession") = text1.Value
span1.InnerHtml = "Session data updated! <P>Your session contains: <font color=red>" & \
Session("MySession").ToString() & "</font>"
End Sub

Sub CheckSession(sender As Object, eAs EventArgs)
If (Session("MySession")Is Nothing) Then
span1.InnerHtml = "NOTHING, SESSION DATA LOST!"
Else
span1.InnerHtml = "Your session contains: <font color=red>" & \
Session("MySession").ToString() & "</font>"
End If
End Sub
</script>
<formrunat="server"id="Form2">
<inputid="text1"type="text"runat="server"name="text1">
<inputtype="submit"runat="server"OnServerClick="Session_Add"
value="Add to Session State" id="Submit1"name="Submit1">
<inputtype="submit"runat="server"OnServerClick="CheckSession"
value="View Session State" id="Submit2"name="Submit2">
</form>
<hrsize="1">
<fontsize="6"><spanid="span1"runat="server" /></font> 

這個SessionState.aspx的頁面能夠用來測試在當前的服務器上是否丟失了Session信息。 

將服務器Session信息存儲在進程中
讓咱們來回到Web.config文件的剛纔那段段落中：

<sessionState
mode="InProc"
stateConnectionString="tcpip=127.0.0.1:42424"
sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
cookieless="false"
timeout="20"
/>
當mode的值是InProc時，說明服務器正在使用這種模式。 

這種方式和之前ASP中的模式同樣，就是服務器將Session信息存儲在IIS進程中。當IIS關閉、重起後，這些信息都會丟失。可是這種模式也有本身最大好處，就是性能最高。應爲全部的Session信息都存儲在了IIS的進程中，因此IIS可以很快的訪問到這些信息，這種模式的性能比進程外存儲 Session信息或是在SQL Server中存儲Session信息都要快上不少。這種模式也是ASP.NET的默認方式。 

好了，如今讓咱們作個試驗。打開剛纔的SessionState.aspx頁面，隨便輸入一些字符，使其存儲在Session中。而後，讓咱們讓IIS重起。注意，並非使當前的站點中止再開始，而是在IIS中本機的機器名的節點上點擊鼠標右鍵，選擇從新啓動IIS。(想當初使用NT4時，從新啓動IIS必需要從新啓動計算機才行，微軟真是@#$%^&)返回到SessionState.aspx頁面中，檢查剛纔的Session信息，發現信息已經丟失了。 

將服務器Session信息存儲在進程外

首先，讓咱們來打開管理工具->服務，找到名爲：ASP.NET State Service的服務，啓動它。實際上，這個服務就是啓動一個要保存Session信息的進程。啓動這個服務後，你能夠從Windows任務管理器 ->進程中看到一個名爲aspnet_state.exe的進程，這個就是咱們保存Session信息的進程。 

而後，回到 Web.config文件中上述的段落中，將mode的值改成StateServer。保存文件後的從新打開一個IE，打開 SessionState.aspx頁面，保存一些信息到Session中。這時，讓咱們重起IIS，再回到SessionState.aspx頁面中查看剛纔的Session信息，發現沒有丟失。 

實際上，這種將Session信息存儲在進程外的方式不光指能夠將信息存儲在本機的進程外，還能夠將Session信息存儲在其餘的服務器的進程中。這時，不光須要將mode的值改成StateServer，還須要在 stateConnectionString中配置相應的參數。例如你的計算你是192.168.0.1，你想把Session存儲在IP爲 192.168.0.2的計算機的進程中，就須要設置成這樣：stateConnectionString="tcpip=192.168.0.2:42424"。固然，不要忘記在192.168.0.2的計算機中裝上.NET Framework，而且啓動ASP.NET State Services服務。 

將服務器Session信息存儲在SQL Server中

首先，仍是讓咱們來作一些準備工做。啓動SQL Server和SQL Server代理服務。在SQL Server中執行一個叫作InstallSqlState.sql的腳本文件。這個腳本文件將在SQL Server中建立一個用來專門存儲Session信息的數據庫，及一個維護Session信息數據庫的SQL Server代理做業。咱們能夠在如下路徑中找到那個文件：

[system drive]\winnt\Microsoft.NET\Framework\[version]\

而後打開查詢分析器，鏈接到SQL Server服務器，打開剛纔的那個文件而且執行。稍等片刻，數據庫及做業就創建好了。這時，你能夠打開企業管理器，看到新增了一個叫ASPState的數據庫。可是這個數據庫中只是些存儲過程，沒有用戶表。實際上Session信息是存儲在了tempdb數據庫的 ASPStateTempSessions表中的，另一個ASPStateTempApplications表存儲了ASP中Application對象信息。這兩個表也是剛纔的那個腳本創建的。另外查看管理->SQL Server代理->做業，發現也多了一個叫作ASPState_Job_DeleteExpiredSessions的做業，這個做業實際上就是每分鐘去ASPStateTempSessions表中刪除過時的Session信息的。 

接着，咱們返回到Web.config文件，修改mode的值改成SQLServer。注意，還要同時修改sqlConnectionString的值，格式爲：

sqlConnectionString="data source=localhost; Integrated Security=SSPI;"

其中data source是指SQL Server服務器的IP地址，若是SQL Server與IIS是一臺機子，寫127.0.0.1就好了。Integrated Security=SSPI的意思是使用Windows集成身份驗證，這樣，訪問數據庫將以ASP.NET的身份進行，經過如此配置，可以得到比使用 userid=sa;password=口令的SQL Server驗證方式更好的安全性。固然，若是SQL Server運行於另外一臺計算機上，你可能會須要經過Active Directory域的方式來維護兩邊驗證的一致性。 

一樣，讓咱們作個試驗。向SessionState.aspx中添加Session信息，這時發現Session信息已經存在SQL Server中了，即便你重起計算機，剛纔的Session信息也不會丟失。如今，你已經徹底看見了Session信息究竟是什麼樣子的了，並且又是存儲在SQL Server中的，能幹什麼就看你的發揮了。 

總結

經過這篇文章，你能夠看到在Session的管理和維護上，ASP.NET比ASP有了很大的進步，咱們能夠更加隨意的挑選適合的方法了。對於企業級的應用來講，這無疑對於服務器的同步、服務器的穩定性、可靠性都是有利的。相信在強大的微軟支持下，新一代的電子商務平臺將會搭建的更好！