如何使Session永不過時

轉載：http://blog.csdn.net/wygyhm/article/details/2819128

先說明狀況：公司作監控系統，B/S結構，主要用在局域網內部！監控系統開機可能要開好長時間，管理員的ID 和權限等是寫在Session裏的——我想不用Cookies的緣由多是Cookies不是很安全，還有就是局域網內，只是幾臺機子訪問服務器， Session沒有幾個，因此即便總保持着Session也不會太佔用資源，最起碼服務器能承受的起。
       

        保持Session的方法：有人說設session.timeout=-1，或小於0的數。這種方 法確定是不行的，session計算時間以分鐘爲單位，必須是大於等於1的整數。又有人說設session.timeout=99999。這種一樣不行， session有最大時間限制。我通過測試發現最大值爲24小時，也就是說你最大能夠session.timeout=1440，1441都是不能夠有， 呵呵。本人測試環境：win2003+IIS6.0+ASP3.0。
因此想經過設session.timeout的過時時間讓session永不過時是不可能的。寫到Cookies裏是比較好的方法，網上也有不少這樣的教 程，這裏就再也不說了！還有就是用在要保持session的頁裏設隱藏iframe每隔一段時間（這個時間小於session.timeout的時間）把涮 新一次frame裏的空頁面！實現方法以下：

      在要保持session頁里加上： 
<iframe width=0 height=0 src="SessionKeeper.asp">
</iframe>

      同目錄下建一下SessionKeeper.asp的文件。 
<html>
<head>
  <meta http-equiv="Refresh" content="900000;url=sessionKeeper.asp"> 
  <!--每隔900秒刷新一下本身，爲了和服務器通信一下，保持session不會丟-->
</head>
</html>

        這種方法仍是比較長見的，另外還有一種和上面相似的方法，不過他不是用meta自動涮新嵌套的iframe的方法。他是用javascript: window.setTimeout("functionname()",10000);第隔一段時間時間自動調用一個函數的方法，固然函數裏仍是要去鏈接一個空的文件。具體方法以下：
     

        在要保持session面里加上： 
<script  id=Back  language=javascript></script>
<script language=javascript>
 function keepsession(){
  document.all["Back"].src="SessionKeeper.asp?RandStr="+Math.random();
  //這裏的RandStr=Math.random只是爲了讓每次back.src的值不一樣，防止同一地址刷新無效的狀況
  window.setTimeout("keepsession()",900000);  //每隔900秒調用一下自己
  }
 keepsession();
</script>
這樣同一目錄下建一個空內容的sessionKeeper.asp就文件就能夠了！ 
    

        問題沒有解決：經過以上的方法Session保持應該沒有問題了，IIS默認無請求的清除session的值爲20分鐘，我設的每次交互服務的時間都遠遠小於這個值，但是我大概過個一天多的時間，session仍是平白無故的沒了！鬱悶。

        後來在網上多方查找終於找到答案：原來IIS爲了保護服務器，有一個「回收」的概念！測試了半天終於有了點大致瞭解（不要笑我菜^-^）。先來看看這個「回收」在哪設置。

        啓動IIS管理器->應用程序池->右鍵->屬性->回收選項卡，有一項是默認就起做用的，就是第一項：「回收工做進程（分 鍾）」默認值1740分鐘，大約29個小時。他是什麼意思呢？我我的理解：在session.timeout以後再過1740分鐘自動把全部仍在保持的session清除。這個值最大可設爲4000000，大概是2700多天！我直接取消了，不用他自動回收！問題終於解決。

        另外這個屬性對話框中還有其它幾項：第二項應該是鏈接的用戶超過了必定數目回收。第三項是到某一個時間就自動回收。在「性能」選項卡中「在空閒此時間段後 關閉工做進程」，這裏就是設置IIS默認session.timeout時間的地方了。默認值20分鐘，這裏一樣最大值可設爲4000000，和在ASP 頁中設置session.timeout最大值爲1440不一樣。在這裏設置超過大於1440的值是否起做用，我沒做測試，我想應該是能夠的。那爲何在 ASP頁中session.timeout的值最大隻能是1440在IIS的屬性中卻能設的那麼大呢？應該是屬於一種保護機制：ASP頁的 session.timeout的值哪一個用戶均可以設，IIS裏卻只有管理員能夠設，二者的權限不一樣，因此設置的範圍就不一樣了。