[转]ASP.Net篇之Session与Cookie
本文轉(zhuǎn)自:http://www.cnblogs.com/japanbbq/archive/2011/08/31/2160494.html
Session:
Session是“會話”的意思,然而,因?yàn)閔ttp協(xié)議是無狀態(tài)的,那么每次客戶端請求服務(wù)器端,服務(wù)器端都會以“嶄新”的頁面展示給客戶端,這在靜態(tài)的html頁面中是不會存在任何影響,但是在動態(tài)頁面中,需要與用戶交互,要保持與客戶端用戶的聯(lián)系,則需要一些東西來保持,而Session的話,則是具有“保持狀態(tài),保持會話”的能力。
注意的是,Session是保存在服務(wù)器端的。(Cookie是保存在客戶端的)需要注意的是,如果用戶突然關(guān)閉了客戶端頁面,那么Session就會丟失,即“會話丟失”。
?
服務(wù)器端創(chuàng)建session的三個步驟(網(wǎng)上參考):
1. 生成全局唯一標(biāo)識符(sessionid);
2. 開辟數(shù)據(jù)存儲空間。一般會在內(nèi)存中創(chuàng)建相應(yīng)的數(shù)據(jù)結(jié)構(gòu),但這種情況下,系統(tǒng)一旦掉電,所有的會話數(shù)據(jù)就會丟失,如果是電子商務(wù)網(wǎng)站,這種事故會造成嚴(yán)重的后果。不過也可以寫到文件里甚至存儲在數(shù)據(jù)庫中,這樣雖然會增加I/O開銷,但session可以實(shí)現(xiàn)某種程度的持久化,而且更有利于session的共享;
3. 將session的全局唯一標(biāo)示符發(fā)送給客戶端。
???? 問題的關(guān)鍵就在服務(wù)端如何發(fā)送這個session的唯一標(biāo)識上。聯(lián)系到HTTP協(xié)議,數(shù)據(jù)無非可以放到請求行、頭域或Body里,基于此,一般來說會有兩種常用的方式:cookie和URL重寫。
1. Cookie(sessionid會保存在Cookie里,并且失效時間為0,就是瀏覽器進(jìn)程的有效時間,如果關(guān)閉了瀏覽器,那么session就會失效,原理就是如此)
讀者應(yīng)該想到了,對,服務(wù)端只要設(shè)置Set-cookie頭就可以將session的標(biāo)識符傳送到客戶端,而客戶端此后的每一次請求都會帶上這個標(biāo)識符,由于cookie可以設(shè)置失效時間,所以一般包含session信息的cookie會設(shè)置失效時間為0,即瀏覽器進(jìn)程有效時間。至于瀏覽器怎么處理這個0,每個瀏覽器都有自己的方案,但差別都不會太大(一般體現(xiàn)在新建瀏覽器窗口的時候);
2. URL重寫(平時網(wǎng)上url地址上有 ?sessionID=xxxx 字樣)
所謂URL重寫,顧名思義就是重寫URL。試想,在返回用戶請求的頁面之前,將頁面內(nèi)所有的URL后面全部以get參數(shù)的方式加上session標(biāo)識符(或者加在path info部分等等),這樣用戶在收到響應(yīng)之后,無論點(diǎn)擊哪個鏈接或提交表單,都會在再帶上session的標(biāo)識符,從而就實(shí)現(xiàn)了會話的保持。讀者可能會覺得這種做法比較麻煩,確實(shí)是這樣,但是,如果客戶端禁用了cookie的話,URL重寫將會是首選。
?
?
Session在ASP.Net的基本用法
定義的時候: Session["ddd"]=xxxx;
使用的時候:Session["ddd"]即可
如果需要保存類的對象的話,用法跟ViewState是一樣的:
發(fā)送端:
UserInfo ui = new UserInfo();?
Session["ui"] = ui;?
ui.name = name.Text;?
ui.age = age.Text;?
ui.sex = sex.Text;?
ui.password = password.Text;?
Response.Redirect("a.aspx");?
接收端:
UserInfo ui = Session["ui"] as UserInfo;?
name.Text = ui.name;?
age.Text = ui.age;?
password.Text = ui.password;?
sex.Text = ui.sex;
?
Session時間(銷毀方式:超時和手動銷毀):
asp.net Session的默認(rèn)時間設(shè)置是20分鐘,即超過20分鐘后,服務(wù)器會自動放棄Session信息.
?
Session Hijack (網(wǎng)上參考):
Session hijack即會話劫持是一種比較嚴(yán)重的安全威脅,也是一種廣泛存在的威脅,在session技術(shù)中,客戶端和服務(wù)端通過傳送session的標(biāo)識符來維護(hù)會話,但這個標(biāo)識符很容易就能被嗅探到,從而被其他人利用,這屬于一種中間人攻擊。
?
Cookie
cookie的最大好處使用的就是"Remember Me"的服務(wù)。
cookie保存在客戶端,如果用戶禁用了cookie的話,可能會存在一些問題,所以在設(shè)計(jì)的時候要注意(判斷cookie是否為null)
需要cookie的原因跟需要session一樣,因?yàn)閔ttp協(xié)議是無狀態(tài)的,每次都是新的頁面,不會保存任何信息,而cookie的話,會保存在客戶端的電腦上,那么到時需要用的時候,可以利用后臺的服務(wù)器端調(diào)用,也可以就用客戶端來進(jìn)行調(diào)用。
Cookie只是一段文本,所以它只能保存字符串。而且瀏覽器對它有大小限制以及 它會隨著每次請求被發(fā)送到服務(wù)器,所以應(yīng)該保證它不要太大。 Cookie的內(nèi)容也是明文保存的,有些瀏覽器提供界面修改,所以, 不適合保存重要的或者涉及隱私的內(nèi)容。(網(wǎng)上參考)
?
?
Cookie的限制:
大多數(shù)瀏覽器支持最大為 4096 字節(jié)的 Cookie。由于這限制了 Cookie 的大小,最好用 Cookie 來存儲少量數(shù)據(jù),或者存儲用戶 ID 之類的標(biāo)識符。用戶 ID 隨后便可用于標(biāo)識用戶,以及從數(shù)據(jù)庫或其他數(shù)據(jù)源中讀取用戶信息。 瀏覽器還限制站點(diǎn)可以在用戶計(jì)算機(jī)上存儲的 Cookie 的數(shù)量。大多數(shù)瀏覽器只允許每個站點(diǎn)存儲 20 個 Cookie;如果試圖存儲更多 Cookie,則最舊的 Cookie 便會被丟棄。有些瀏覽器還會對它們將接受的來自所有站點(diǎn)的 Cookie 總數(shù)作出絕對限制,通常為 300 個。
?
Cookie中的屬性:(網(wǎng)上參考)
name: 每個cookie由一個唯一的名稱代表,這個名稱可以包含字母、數(shù)字、下劃線。cookie的名稱是不分大小寫,所以mycookie和MyCookie是一樣。但考慮到服務(wù)器端語言可能區(qū)分大小寫,建議定義和使用時還是區(qū)分大小寫。
value: 保存在cookie中的字符串值。這個值在存儲之前必須使用encodeURIComponent()對其進(jìn)行編碼,以免丟失數(shù)據(jù)或占用了cookie。注意:cookie名字和值加起來的字節(jié)數(shù)不能超過4095字節(jié),也即4KB。
domain: 出于安全考慮,網(wǎng)站不能訪問由其他域所創(chuàng)建的cookie。創(chuàng)建cookie以后,域的信息會作為cookie的一部分存儲下來。關(guān)于域,這里給一個例子,如http://ibm.com/foo/index.aspx, 它的域?yàn)?#xff1a;ibm.com。
path: cookie的另一個安全特征,限制對web服務(wù)器上特定目錄的訪問。即控制哪些訪問能觸發(fā)發(fā)送.例如請求的地址是上面的url,如果path=/foo,這個cookie就會被發(fā)送,但是path為其他的話,該cookie會被忽略。
expires: cookie的過期時間。
secure: 一個true/false值,用于表示cookie是否只能從安全網(wǎng)站(使用SSL和https協(xié)議的網(wǎng)站)中訪問。如果這個值被設(shè)置為true
?
?
Cookie的基本步驟:(網(wǎng)上參考)
瀏覽器對于Web服務(wù)器應(yīng)答包頭中Cookie的操作步驟:
a. 從Web服務(wù)器的應(yīng)答包頭中提取所有的cookie。
b. 解析這些cookie的組成部分(名稱,值,路徑等等)。
c. 判定主機(jī)是否允許設(shè)置這些cookie。允許的話,則把這些cookie存儲在本地。
瀏覽器對Web服務(wù)器請求包頭中所有的cookie進(jìn)行篩選的步驟:
a. 根據(jù)請求的url和本地存儲cookie的屬性,判斷那些cookie能被發(fā)送給Web服務(wù)器。
b. 對于多個cookie,判定發(fā)送的順序。?
c. 把需要發(fā)送的cookie加入到請求http包頭中一起發(fā)送。
?
Cookie在ASP.Net中的基本用法:
發(fā)送端:
HttpCookie cookie = new HttpCookie("UserInfo");
cookie["name"] = name.Text;
cookie["age"] = age.Text;
cookie["sex"] = sex.Text;
cookie["language"] = language.Text;
cookie.Expires = DateTime.MaxValue;
Response.Cookies.Add(cookie);
Response.Redirect("cookie2.aspx");?
接收端:
HttpCookie cookie = Request.Cookies["UserInfo"];
if(cookie!=null)
{
name.Text = cookie["name"];?
age.Text = cookie["age"];?
language.Text = cookie["language"];?
sex.Text = cookie["sex"];
}
else
{?? }
最好在接收端上加上一個條件判斷,這樣則避免如果禁用了cookie,就不會導(dǎo)致出錯,也可以確定cookie是否存在。
?
Cookie的用途:
防止網(wǎng)上重復(fù)投票;?
通過cookie實(shí)現(xiàn)自動登陸?
單點(diǎn)登陸 ( Single Sign On, SSO),是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一. 簡單的說, 就是在多個應(yīng)用系統(tǒng)中,用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。它包括可以將這次主要的登錄映射到其他應(yīng)用中用于同一個用戶的登錄的機(jī)制。
?
?
Session和Cookie比較:(網(wǎng)上參考)
1. 應(yīng)用場景
Cookie的典型應(yīng)用場景是Remember Me服務(wù),即用戶的賬戶信息通過cookie的形式保存在客戶端,當(dāng)用戶再次請求匹配的URL的時候,賬戶信息會被傳送到服務(wù)端,交由相應(yīng)的程序完成自動登錄等功能。當(dāng)然也可以保存一些客戶端信息,比如頁面布局以及搜索歷史等等。
Session的典型應(yīng)用場景是用戶登錄某網(wǎng)站之后,將其登錄信息放入session,在以后的每次請求中查詢相應(yīng)的登錄信息以確保該用戶合法。當(dāng)然還是有購物車等等經(jīng)典場景;
2. 安全性
cookie將信息保存在客戶端,如果不進(jìn)行加密的話,無疑會暴露一些隱私信息,安全性很差,一般情況下敏感信息是經(jīng)過加密后存儲在cookie中,但很容易就會被竊取。而session只會將信息存儲在服務(wù)端,如果存儲在文件或數(shù)據(jù)庫中,也有被竊取的可能,只是可能性比cookie小了太多。
Session安全性方面比較突出的是存在會話劫持的問題,這是一種安全威脅,這在下文會進(jìn)行更詳細(xì)的說明。總體來講,session的安全性要高于cookie;
3. 性能
Cookie存儲在客戶端,消耗的是客戶端的I/O和內(nèi)存,而session存儲在服務(wù)端,消耗的是服務(wù)端的資源。但是session對服務(wù)器造成的壓力比較集中,而cookie很好地分散了資源消耗,就這點(diǎn)來說,cookie是要優(yōu)于session的;
4. 時效性
Cookie可以通過設(shè)置有效期使其較長時間內(nèi)存在于客戶端,而session一般只有比較短的有效期(用戶主動銷毀session或關(guān)閉瀏覽器后引發(fā)超時);
5. 其他
Cookie的處理在開發(fā)中沒有session方便。而且cookie在客戶端是有數(shù)量和大小的限制的,而session的大小卻只以硬件為限制,能存儲的數(shù)據(jù)無疑大了太多。
?
?
關(guān)于Session和Cookie兩方面的知識還有太多太多要學(xué),現(xiàn)在理解只是皮毛。
?
網(wǎng)上資源來自:
http://www.cnblogs.com/shoru/archive/2010/02/19/1669395.html? 大話session
http://www.cnblogs.com/fish-li/archive/2011/07/03/2096903.html?細(xì)說cookie
http://www.cnblogs.com/langzi127/archive/2009/04/08/1431730.html?cookie的應(yīng)用
?
轉(zhuǎn)載于:https://www.cnblogs.com/freeliver54/p/5909611.html
總結(jié)
以上是生活随笔為你收集整理的[转]ASP.Net篇之Session与Cookie的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 信用卡被拒会上征信吗?不良影响总会有的
- 下一篇: asp.net 加载xml到menu