6.7　Session对象

Session对象派生自HttpSessionState类，用来存储跨网页程序的变量或对象。Session对象只针对单一的用户，即各个连接的客户端有各自的Session对象变量，而不能被其他用户共享。

6.7.1　Session对象的属性和方法

在ASP.NET 4.5中，Session是一个内置对象的，该对象是Page类的子类，该类为当前用户会话提供信息，还提供对可用于存储信息的会话范围的缓存的访问，以及控制如何管理会话的方法。

可以使用Session对象存储特定用户会话所需的信息。这样，当用户在应用程序的Web页之间跳转时，存储在Session对象中的变量将不会丢失，而是在整个用户会话中一直存在下去。当会话过期或被放弃后，服务器将中止该会话。

利用Session进行状态管理是一个ASP.NET 4.5的显著特点。它允许程序员把任何类型的数据存储在服务器上。数据信息是受到保护的，因为它永远不会传送给客户端，它捆绑到一个特定的Session。每一个向应用程序发出请求的客户端则有不同的Session和一个独特的信息集合来管理（当用户请求来自应用程序的Web页时，如果该用户还没有会话，则Web服务器将自动创建一个Session对象）。Session是理想的信息存储器，比如当用户从一个页面跳转到另一个页面时，可以在它里面存储购物篮的内容。

ASP.NET采用一个具有120位的标识符来跟踪每一个Session。ASP.NET中利用专有算法来生成这个标识符的值，从而保证了（统计上的）这个值是独一无二的，它有足够的随机性，从而保证恶意的用户不能利用逆向工程或“猜”获得某个客户端的标识符的值。这个特殊的标识符被称为SessionID。

对于每个用户的每次访问，Session对象是唯一的，具体包含两个含义：

●　对于某个用户的某次访问，Session对象在访问期间是唯一，可以通过Session对象在页面间共享信息。只要Session没有超时，或者Abandon方法没有被调用，Session中的信息就不会丢失。

●　对于用户的每次访问而言，每次产生的Session都不同，所以不能共享数据，而且Session对象是有时间限制的，通过TimeOut属性可以设置Session对象的超时时间，单位为分钟。如果在规定的时间内，用户没有对网站进行任何的操作，Session将超时。

为系统能够正常工作，客户端必须为每个请求保存相应的SessionID，获取某个请求的SessionID的方式有两种：

●　使用Cookies。在这种情况下，当Session集合被使用时，SessionID被ASP.NET自动转化为一个特定的Cookie（被命名为ASP.NET_SessionID）。

●　使用改装的URL。在这种情况下，SessionID被转化为一个特定的改装的URL。ASP.NET的这个特性可以让程序员在客户端禁用Cookies时创建Session。

但是使用Session并不是免费的，虽然它解决了许多相关的问题，同其他形式的状态管理相比，它迫使服务器存储额外的信息。这笔额外的存储要求，即使是很小，随着数百或数千名客户进入网站，也能快速积累到可以破坏服务器正常运行的水平。

Session对象的常用属性和方法如表6-7所示。

表6-7　Session对象的常用属性和方法

Session对象具有两个事件：Session_OnStart事件和Session_OnEnd事件。Session_OnStart事件在创建一个Session时被触发，Session_OnEnd事件在用户Session结束时（可能是因为超时或者调用了Abandon方法）被调用。可以在Global.asax文件中为这两个事件增加处理代码。

6.7.2　Session对象的储存

Session存储在两个地方，分别是客户端和服务器端。客户端只负责保存相应网站的SessionID，而其他的Session信息则保存在服务器端。这就是为什么说Session是安全的原因。在客户端只存储SessionID，这个SessionID只能被当前请求网站的客户所使用，对其他人则是不可见的；而Session的其他信息则保存在服务器端，而且永远也不发送到客户端，这些信息对客户都是不可见的，服务器只会按照请求程序取出相应的Session信息发送到客户端。所以只要服务器不被攻破，想要利用Session搞破坏还是比较困难的。下面分两个小节来讲述Session的存储。

1．在客户端的存储

在ASP.NET中客户端的Session信息存储方式有两种，分别是：使用Cookie存储和不使用Cookie存储。默认状态下，在客户端是使用Cookie存储Session信息的。有时为了防止用户禁用Cookie造成程序混乱，就会不使用Cookie存储Session信息。在客户端不使用Cookie存储Session信息的设置如下：

找到当前Web应用程序的根目录，打开Web.Config文件，找到如下段落：

以上代码段中第1行的sessionState节点用于设置网站Session的状态。其中第4行cookieless="false"表示客户端使用Cookie保存Session信息。如果改为cookieless="true"，客户端就不再使用Cookie存储Session信息，而是将其通过URL存储。运行已创建的Web应用程序，就会在运行出来的页面地址栏里看到如图6-14所示的SessionID：e3tgb5wzqyx23wlnyamg23kb。这段信息是由IIS自动加上的，不会影响以前正常的连接。

图6-14　URL中存储SessionID

2．在服务器端的存储

在服务器端存储的Session信息可以有三种存储方式：

（1）存储在进程内

在Web.Config文件中找到如下段落：

以上代码第1行设置mode="InProc"，表示采用在服务器端将Session信息存储在IIS进程中的这种存储模式。当IIS关闭、重起后，这些信息都会丢失。但是这种模式的性能最高。因为所有的Session信息都存储在了IIS的进程中，所以IIS能够很快地访问到这些信息，这种模式的性能比进程外存储Session信息或是在SQL Server中存储Session信息都要快上很多。这种模式是ASP.NET的默认方式。

（2）存储在进程外

首先，要在“控制面板”里来打开“管理工具”下的“服务”，找到名为ASP.NET State Service的服务，启动它。这个服务启动一个要保存Session信息的进程。启动这个服务后，可以从“Windows任务管理器”的“进程”面板中看到一个名为aspnet_state.exe的进程，这个就是保存Session信息的进程。

然后，回到Web.config文件上述的段落中，将mode的值改为StateServer。这种存储模式就是进程外存储，当IIS关闭、重起后，这些信息都不会丢失。

实际上，这种将Session信息存储在进程外的方式不光只可以将信息存储在本机的进程外，还可以将Session信息存储在其他的服务器的进程中。这时，不光需要将mode的值改为StateServer，还需要在stateConnectionString中配置相应的参数。例如读者的计算机IP是220.115.249.99，想把Session存储在IP为220.115.249.99的计算机的进程中，就需要设置成这样：stateConnectionString="tcpip=1220.115.249.99:42424"。当然，不要忘记在220.115.249.99的计算机中装上.NET Framework，并且启动ASP.NET State Services服务。

（3）存储在SQL Server中

将Session储存在SQL Server数据库中的步骤如下：

01　启动SQL Server和SQL Server代理服务。在SQL Server中执行一个称为InstallSqlState.sql的脚本文件。这个脚本文件将在SQL Server中创建一个专门用来存储Session信息的数据库，及一个维护Session信息数据库的SQL Server代理作业。读者可以在以下路径中找到这个脚本文件：

02　打开查询分析器，连接到SQL Server服务器，打开刚才的那个文件并且执行。稍等片刻，数据库及作业就建立好了。这时，读者可以打开企业管理器，看到新增了一个名为ASPState的数据库。但是这个数据库中只是些存储过程，没有用户表。实际上Session信息存储在tempdb数据库的ASPStateTempSessions表中，另外一个ASPStateTempApplications表存储了ASP中Application对象信息。这两个表也是刚才的那个脚本建立的。另外查看“管理”|“SQL Server代理”|“作业”，发现也多了一个叫做ASPState_Job_DeleteExpiredSessions的作业，这个作业实际上就是每分钟去ASPStateTempSessions表中删除过期Session信息的。

03　返回到Web.config文件，修改mode的值为SQL Server。注意，还要同时修改sqlConnectionString的值，格式为：

上面的代码中data source是指SQLServer服务器的IP地址，如果SQLServer与IIS是一台机子，写127.0.0.1就行了。Integrated Security=SSPI的意思是使用Windows集成身份验证，这样，访问数据库将以ASP.NET的身份进行，通过如此配置，能够获得比使用userid=sa;password=口令的SQLServer验证方式更好的安全性。当然，如果SQLServer运行于另一台计算机上，读者可能会需要通过Active Directory域的方式来维护两边验证的一致性。

如何选择Session的存储方式需要根据具体的情况来分析。在客户端是否使用Cookie来存储SessionID需要程序员做一个判断，判断客户是否禁用Cookie，不过一般情况下都会采用默认情况。在服务器端如何就三种形式做出选择要根据实际需求：追求效率的话肯定采用默认的形式存储Session信息；要想持久保存Session就可以选择其他两种方式。其实，究竟采用哪种方式，最重要的是由程序员根据实际需求来分析，有时可能需要做很多测试才能决定下来采用哪种方式。

6.7.3　Session对象的使用

Session对象的使用和ViewState使用方法一样，在Session里存储一个Login的示例代码如下：

可以通过如下的示例代码从Session里取得该Login：

对于当前用户来说，Session对象是整个应用程序的一个全局变量，程序员在任何页面代码里都可以访问该Session对象。但某些情况下，Session对象有可能会丢失：

●　用户关闭浏览器或重启浏览器。

●　如果用户通过另一个浏览器窗口进入同样的页面，尽管当前Session依然存在，但在新开的浏览器窗口中将找不到原来的Session，这和Session的机制有关。

●　Session过期。

●　程序员利用代码结束当前Session。

在前两种情况下，Session实际上仍然在内存中，因为服务器不知道客户端已关闭浏览器或改变窗口，本次Session将保留在内存中，直到该Session过期。但是程序员却无法在找到Session，因为SessionID此时已经丢失，失去了SessionID就无法从Session集合里检索到该Session。

【实例6-7】Session对象的使用

本例将创建一个简单的网页，它模拟购物车的一些简单特征。该网页会显示购物车的商品数，其中有两个按钮，一个向购物车中添加商品，另一个清空购物车。为了简化问题，仅计算商品的数量。具体实现步骤如下：

01　启动Visual Studio 2012，创建一个ASP.NET Web空应用程序，命名为“实例6-7”。

02　在“实例6-7”中创建一个名为Default.aspx的窗体。

03　单击网站的目录下的Default.aspx文件，进入“视图编辑”界面，打开“源视图”，在编辑区中<form></form>标记之间编写如下代码。

上面的代码中第1行和第2行分别添加两个按钮服务器控件Button，并设置其单击事件为Click。第3行添加一个标签服务器控件Lable。

04　单击网站目录下的Default.aspx.cs文件，编写代码如下：

上面的代码中第1行处理定义“清空购物车”按钮控件Button1单击事件Click的方法。第3行设置商品数量为0，并放置到Session中。第3行在标签控件上显示Session中的商品数量。第5行处理定义“添加”按钮控件Button2单击事件Click的方法。第6行判断Session中如果有数值存在，则第7行将Session中的商品数量赋值给变量i。第8行将商品数量加1。第9行将增加后的商品数量保存到Session中。如果Session中没有数值存在，则第12行设置Session中商品数量为1。

05　按快捷键Ctrl＋F5运行程序，如图6-15所示，单击“添加”按钮，会重新加载页面，可以看到购物车中的商品数量已经增加了，单击两次后的效果如图6-16所示。

图6-15　运行结果1

图6-16　运行结果2

如果刷新页面，购物车中的数量是不会改变的，只有关闭浏览器或者使其放置时间超过20分钟，才会丢失会话信息，单击“清空购物车”按钮，可以看到商品数量就会变成0，如图6-17所示。

图6-17　运行结果3