Session, Cookie, Web.config中的cookieless总结

admin管理员组

文章数量:1122851

Session, Cookie, Web.config中的cookieless总结

原文地址：.html

在原文基础上，加入了一些其他网站内容

1.Session存在server上, asp有几种存储方式, 一是inproc, 二是sqlserver, 三是stateserver, 四是可以放到Appfabric Caching中去(这是 4.0中新加的).

2.Cookie存在客户端浏览器里, 如果加上expired, 则会保存到客户硬盘上去. 用户可以启用cookie, 也可以关闭cookie, 就这个自由, 导致的问题就来了.

3.网站如何识别已登录用户呢?

   用户访问网站时, 网站会分配一个sessionID给该浏览器, 这个sessionID存在于客户端的cookie中, 这样, 客户再请求访问网站的其它页面时, 服务器见到这个客户请求, 一检查cookie, 发现有sessionID, 于是就知道谁已登录的用户, 谁是未登录的了. 

就是这个样子的：
HTTP/1.1 200 OK
Server: ASP.NET Development Server/10.0.0.0
Date: Wed, 22 Jun 2011 09:37:53 GMT
X-AspNet-Version: 4.0.30319
Set-Cookie: ASP.NET_SessionId=zvsoy5xcsvflpdzso40s52se; path=/; HttpOnly
Cache-Control: private
Content-Type: text/html; charset=utf-8
Content-Length: 2430
Connection: Close

4.如果客户端禁止使用cookie呢?

   cookie不是很安全, 于是就有人禁止关闭它.

   这样, 浏览器SessionID无法存入cookie中, 这样, 网站就不能识别用户了, 也就导致所有人都无法登录了, 而这时, 解决办法就是, 修改应用程序的配置文件web.config中cookieless="true", 即可解决某些用户禁用cookie这个问题.

   < cookieless="true" mode="StateServer" sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes" stateConnectionString="tcpip=127.0.0.1:42424" timeout="30" />

   cookieless="true"的官方解释是：如果用户浏览器不支持Cookie时启用会话状态, 看得不是很懂得样子.

   不懂没关系, 实践一下, 这时再访问网站, 就会在url中多出一些字符 (如 http://localhost/(S(hbbvecjstz42edqcjobbyh45))/login.aspx) , 这就是把SessionID放Url中了, 不是不让放cookie中吗? 那就只好放url中了, 感觉很丑陋了. 

   技术上, cookieless的意思就是这样, 但实际上估计没有网站会这么干的, 直接告诉用户起用cookie不就完了, 不启用cookie就别访问我的网站, 爱来不来, 谁怕谁?

详细解释（）

ASP.NET中Session模型简介
Session模型简介

Session是什么呢？简单来说就是服务器给客户端的一个编号。当一台WWW服务器运行时，可能有若干个用户浏览正在运正在这台服务器上的网站。当每个用户首次与这台WWW服务器建立连接时，他就与这个服务器建立了一个Session，同时服务器会自动为其分配一个SessionID，用以标识这个用户的唯一身份。这个SessionID是由WWW服务器随机产生的一个由24个字符组成的字符串，我们会在下面的实验中见到它的实际样子。

这个唯一的SessionID是有很大的实际意义的。当一个用户提交了表单时，浏览器会将用户的SessionID自动附加在HTTP头信息中，（这是浏览器的自动功能，用户不会察觉到），当服务器处理完这个表单后，将结果返回给SessionID所对应的用户。试想，如果没有SessionID，当有两个用户同时进行注册时，服务器怎样才能知道到底是哪个用户提交了哪个表单呢。当然，SessionID还有很多其他的作用，我们会在后面提及到。

除了SessionID，在每个Session中还包含很多其他信息。但是对于编写ASP或ASP.NET的程序与来说，最有用的还是可以通过访问ASP/ASP.NET的内置Session对象，为每个用户存储各自的信息。例如我们想了解一下访问我们网站的用户浏览了几个页面，我们可能在用户可能访问到每个的页面中加入： <%
If Session("PageViewed") = ""Then
　Session("PageViewed") = 1
Else
　Session("PageViewed") = Session("PageViewed") + 1
End If
%>

通过以下这句话可以让用户得知自己浏览了几个页面： <%
Response.Write("You have viewed " & Session("PageViewed") & " pages")
%>

可能有些有些读者会问：这个看似像是数组的Session(“..”)是哪里来的？需要我定义吗？实际上，这个Session对象是具有ASP解释能力的的WWW服务器的内建对象。也就是说ASP的系统中已经给你定义好了这个对象，你只需要使用就行了。其中Session(“..”)中的..就好像变量名称，Session(“..”)=$中的

$就是变量的值了。你只需要写上句话，在这个用户的每个页面中都可以访问..变量中的值了。

其实ASP一共内建了7个对象，有Session、Application、Cookie、Response、Request、Server等。在其他的服务器端脚本语言如JSP、PHP等中也有其类似的对象，只是叫法或者使用方法上不太一样。

ASP Session的功能的缺陷

目前ASP的开发人员都正在使用Session这一强大的功能，但是在他们使用的过程中却发现了ASP Session有以下缺陷：

§       进程依赖性：ASP Session状态存于IIS的进程中，也就是inetinfo.exe这个程序。所以当inetinfo.exe进程崩溃时，这些信息也就丢失。另外，重起或者关闭IIS服务都会造成信息的丢失。

§       Session状态使用范围的局限性：刚一个用户从一个网站访问到另外一个网站时，这些Session信息并不会随之迁移过去。例如：新浪网站的WWW服务器可能不止一个，一个用户登录之后要去各个频道浏览，但是每个频道都在不同的服务器上，如果想在这些WWW服务器共享Session信息怎么办呢？

§       Cookie的依赖性：实际上客户端的Session信息是存储与Cookie中的，如果客户端完全禁用掉了Cookie功能，他也就不能享受到了Session提供的功能了。

鉴于ASP Session的以上缺陷，微软的设计者们在设计开发 Session时进行了相应的改进，完全克服了以上缺陷，使得ASP.NET Session成为了一个更加强大的功能。

Web.config文件简介

有的ASP.NET程序员说：Web.config文件？我从来没有听说过啊，可是我写的程序不是也能很正常的运转吗？是的，你说得没错，没有Web.config文件程序是可以正常运行的。但是，如果你做了一个大型的网站，需要对整个网站做一些整体配置，例如整个网站的页面使用何种语言编写的、网站的安全认证模式、Session信息存储方式等，这时你就需要使用Web.config文件了。虽然Web.config文件中的某些选项是可以通过IIS配置的，但是如果在Web.config中也有相应的设置就会覆盖掉IIS中的配置。而且，Web.config文件的最大的便利之处就是可以在ASP.NET页面中通过调用System.web名字空间访问Web.config中的设置。

Web.config有两种，分别是服务器配置文件和Web应用程序配置文件，他们都名为Web.config。在这个配置文件中会保存当前IIS服务器中网页的使用哪种语言编写的、应用程序安全认证模式、Session信息存储方式的一系列信息。这些信息是使用XML语法保存的，如果想对其编辑，使用文本编辑器就行了。

其中服务器配置文件会对IIS服务器下所有的站点中的所有应用程序起作用。在.NET Framework 1.0中，服务器的Web.config文件是存在：\WinNT\Microsoft.NET\Framework\v1.0.3705中的。

而Web应用程序配置文件Web.config则保存在各个Web应用程序中。例如：当前网站的根目录\Inetpub\wwwroot，而当前的Web应用程序为MyApplication，则Web应用程序根目录就应为：\Inetpub\wwwroot\MyApplication。如果你的网站有且只有一个Web应用程序，一般说来应用程序的根目录就是\Inetpub\wwwroot。如果想添加一个Web应用程序，在IIS中添加一个具有应用程序起始点的虚拟目录就行了。这个目录下的文件及目录将被视为一个Web应用程序。但是，这样通过IIS添加Web应用程序是不会为你生成Web.config文件的。如果想创建一个带有Web.config文件的Web应用程序，需要使用Visual Studio.NET，新建一个Web应用程序项目。

Web应用程序的配置文件Web.config是可选的，可有可无。如果没有，每个Web应用程序会使用服务器的Web.config配置文件。如果有，则会覆盖服务器Web.config配置文件中相应的值。

在ASP.NET中，Web.config修改保存后会自动立刻成效，不用再像ASP中的配置文件修改后需要重新启动Web应用程序才能生效了。

Web.config文件中的Session配置信息

打开某个应用程序的配置文件Web.config后，我们会发现以下这段：

<sessionState
　　mode="InProc"
　　stateConnectionString="tcpip=127.0.0.1:42424"
　　sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
　　cookieless="false"
　　timeout="20" 
/>

这一段就是配置应用程序是如何存储Session信息的了。我们以下的各种操作主要是针对这一段配置展开。让我们先看看这一段配置中所包含的内容的意思。sessionState节点的语法是这样的：<sessionState mode="Off|InProc|StateServer|SQLServer"              cookieless="true|false"              timeout="number of minutes"              stateConnectionString="tcpip=server:port"              sqlConnectionString="sql connection string"     stateNetworkTimeout="number of seconds"/>

必须有的属性是 属性 
选项 
描述 

mode    
设置将Session信息存储到哪里 

Off 
设置为不使用Session功能 
InProc 
设置为将Session存储在进程内，就是ASP中的存储方式，这是默认值。 
StateServer 
设置为将Session存储在独立的状态服务中。 

SQLServer 
设置将Session存储在SQL Server中。

可选的属性是： 属性 
选项 
描述 

cookieless    
设置客户端的Session信息存储到哪里 

ture 
使用Cookieless模式 
false 
使用Cookie模式，这是默认值。 

timeout    
设置经过多少分钟后服务器自动放弃Session信息。默认为20分钟 

stateConnectionString    
设置将Session信息存储在状态服务中时使用的服务器名称和端口号，例如："tcpip=127.0.0.1:42424”。当mode的值是StateServer是，这个属性是必需的。 

sqlConnectionString    
设置与SQL Server连接时的连接字符串。例如"data source=localhost;Integrated Security=SSPI;Initial Catalog=northwind"。当mode的值是SQLServer时，这个属性是必需的。 

stateNetworkTimeout    
设置当使用StateServer模式存储Session状态时，经过多少秒空闲后，断开Web服务器与存储状态信息的服务器的TCP/IP连接的。默认值是10秒钟。

ASP.NET中客户端Session状态的存储
在我们上面的Session模型简介中，大家可以发现Session状态应该存储在两个地方，分别是客户端和服务器端。客户端只负责保存相应网站的SessionID，而其他的Session信息则保存在服务器端。在ASP中，客户端的SessionID实际是以Cookie的形式存储的。如果用户在浏览器的设置中选择了禁用Cookie，那末他也就无法享受Session的便利之处了，甚至造成不能访问某些网站。为了解决以上问题，在ASP.NET中客户端的Session信息存储方式分为：Cookie和Cookieless两种。
ASP.NET中，默认状态下，在客户端还是使用Cookie存储Session信息的。如果我们想在客户端使用Cookieless的方式存储Session信息的方法如下：
找到当前Web应用程序的根目录，打开Web.Config文件，找到如下段落：
<sessionState
　　mode="InProc"
　　stateConnectionString="tcpip=127.0.0.1:42424"
　　sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
　　cookieless="false"
　　timeout="20" 
/>
这段话中的cookieless="false"改为：cookieless="true"，这样，客户端的Session信息就不再使用Cookie存储了，而是将其通过URL存储。关闭当前的IE，打开一个新IE，重新访问刚才的Web应用程序，就会看到类似下面的样子：其中，http://localhost/MyTestApplication/(ulqsek45heu3ic2a5zgdl245)/default.aspx中标红加粗（24个字符）标出的就是客户端的Session ID。注意，这段信息是由IIS自动加上的，不会影响以前正常的连接。

下面两篇文章非常好, 推荐一下: 

1. Session与Cookie(转) 
.html?_sm_byp=iVVHtw6wWV103RW3

今天突然发现我对Session有很大的误解.
一句话就是,一般情况下Session是需要Cookie支持的!

大家都知道Session是在服务器端保存客户状态的,只要浏览器不关闭,就可以一直保存该用户的信息,通常用做来保存是否登陆信息等.而Cookie与其刚好相反,它将信息保存到客户端,它是写入文件的,俗成小甜点..
今天做了个程序,是判断是否登陆成功的,没有使用Cookie,而全部使用的Session机制实现的.本来很好用,可吃完午饭后,突发起想的把浏览器的cookie禁止了,这时候产生了一件让我很惊讶的事情session竟然不好用了,也就是说,无论我怎么登陆系统,系统都认为我没有登陆! 当我把cookie打开后session就好用了,系统也恢复正常了?!这是怎么会事?感觉我和思维中的某种原则性的东西冲突了
于是决定好好研究下.
为什么登陆后,只要不关闭浏览器,session就能一直存在?当然session的数据是保存在服务器上的,但服务器是怎么识别这些数据都是谁的呢?答案是sessionid,每一个浏览者都唯一的sessionid,这就很好的区分了不同浏览者的不同session了.sessionid是怎么产生的?应该是第一次访问服务器的时候随即生成的.假如是111,然后他的登陆信息是true,服务器就知道sessionid为111已经登陆了,这些信息都存在了服务器上了.但当浏览者继续操作的时候,也就是打开该系统的另一个页面的时候sessionid怎么办?如何传递?打开另一个页面的时候其实相当于重新访问系统,如果没有特殊的处理机制,系统会再次重新分配一个sessionid的,这样的话就失去意义了~!所以sessionid在第一次访问后应该存在了客户端.能寸哪呢?当然,只能寸在cookie中了,这就是为什么关闭cookie,session就失去作用了
找到这么个例子来描述cookie session的关系再恰当不过了
一家咖啡店有喝5杯咖啡免费赠一杯咖啡的优惠，然而一次性消费5杯咖啡的机会微乎其微，这时就需要某种方式来纪录某位顾客的消费数量。想象一下其实也无外乎下面的几种方案： 
1、该店的店员很厉害，能记住每位顾客的消费数量，只要顾客一走进咖啡店，店员就知道该怎么对待了。这种做法就是协议本身支持状态。 
2、发给顾客一张卡片，上面记录着消费的数量，一般还有个有效期限。每次消费时，如果顾客出示这张卡片，则此次消费就会与以前或以后的消费相联系起来。这种做法就是在客户端保持状态。 
3、发给顾客一张会员卡，除了卡号之外什么信息也不纪录，每次消费时，如果顾客出示该卡片，则店员在店里的纪录本上找到这个卡号对应的纪录添加一些消费信息。这种做法就是在服务器端保持状态。
第一种情况暂时不考虑.看第二种情况,卡片无疑就是cookie了,所有的数据如果都存在卡片上是不安全的,也是容易遗失的(卡片被修改了?卡片遗失了?这都是有可能的).所以才用了第三种情况.客户除了个会员号再什么信息也没有,这是最安全的,但这个会员号必须是客户自己知道的!也就是cookie中必须存储的.
这样解释我今天中午遇到的情况就不惊讶了.

无cookie的解决办法是利用URL重写技术,就是把sessionid的数据保存在url后面.asp?sessionid=111
在中,可以用Web.config配置
就是把cookieless="false"改为：cookieless="true"就可以了
还有一种方法是利用表单隐藏字段技术,就是加个input type='hide'的元素.这中技术也在.Net中大量使用,尤其是.Net中的控件.个人很不喜欢这种技术，因为加大了流量(数据都是加密的.体积成倍增加)

默认情况下session是存在inetinfo.exe进程中的
.Net中session是可以存在sql server中的,很强

2. ASP.NET Session Management Internals
.aspx?_sm_byp=iVVHtw6wWV103RW3

本文标签： sessionCookieWebconfig中的cookieless总结