ASP.NET教程：ASP.NET Session详解

当用户在 Web 应用程序中导航 ASP.NET 页时，ASP.NET 会话状态使您能够存储和检索用户的值。HTTP 是一种无状态协议。这意味着 Web 服务器会将针对页面的每个 HTTP 请求作为独立的请求进行处理。服务器不会保留以前的请求过程中所使用的变量值的任何信息。

ASP.NET 会话状态将来自限定时间范围内的同一浏览器的请求标识为一个会话，当每个用户首次与这台WWW服务器建立连接时，他就与这个服务器建立了一个Session，同时服务器会自动为其分配一个SessionID，用以标识这个用户的唯一身份。Session提供用于在该会话持续期间内保留变量值的方法。默认情况下，将为所有 ASP.NET 应用程序启用ASP.NET 会话状态.

会话变量可以是任何有效的 .NET Framework 类型， 注意：当使用 InProc 以外的会话状态模式时，会话变量类型必须为基元 .NET 类型或可序列化的类型。这是因为会话变量值存储在外部数据存储区中。

会话由一个唯一标识符标识，可使用 SessionID 属性读取此标识符。为 ASP.NET 应用程序启用会话状态时，将检查应用程序中每个页面请求是否有浏览器发送的 SessionID 值。如果未提供任何 SessionID 值，则 ASP.NET 将启动一个新会话，并将该会话的 SessionID 值随响应一起发送到浏览器。

默认情况下，SessionID 值存储在 Cookie 中。但也可以将应用程序配置为在“无 Cookie会话的 URL 中存储 SessionID 值。只要一直使用相同的 SessionID 值来发送请求，会话就被视为活动的。如果特定会话的请求间隔超过指定的超时值（以分钟为单位），则该会话被视为已过期。使用过期的 SessionID 值发送的请求将生成一个新的会话。

安全说明：

无论是作为 Cookie 还是作为 URL 的一部分，System.Web.SessionState.HttpSessionState.SessionID 值都以明文的形式发送。恶意用户通过获取 SessionID 值并将其包含在对服务器的请求中，可以另一位用户的会话。如果您将敏感信息存储在会话状态中，建议使用 SSL 来加密浏览器和服务器之间包含 SessionID 值的任何通信。

默认情况下，SessionID 值存储在浏览器的不过期会话 Cookie 中。但是，通过在 Web.config 文件的 sessionState 节中将 cookieless 属性设置为 true，可以指定不应将会话标识符存储在 Cookie 中。

configuration

sessionState cookieless=true

regenerateExpiredSessionId=true /

/configuration

ASP.NET 通过自动在页的 URL 中插入唯一的会话 ID 来保持无 Cookie 会话状态。例如，下面的 URL 已被 ASP.NET 修改，以包含唯一的会话 ID lit3py55t21z5v55vlm25s55：

http://www.example/(S(lit3py55t21z5v55vlm25s55))/orderform.aspx

搭建Session服务器的几种方式

将Session保存在独立的服务器中可以实现在多台Web服务器之间共享Session.虽然我们也可以自己开发Session存储系统， 但是使用ASP.NET自带的存储机制将更加便捷.

.NET提供了5种保存Seission的方式:

方式名称

存储方式

性能

Off

设置为不使用Session功能

无

InProc

设置为将Session存储在进程内，就是ASP中的存储方式，这是默认值。

性能最高

StateServer

设置为将Session存储在独立的状态服务中。通常是aspnet_state.exe进程.

性能损失10-15%

SQLServer

设置将Session存储在SQL Server中。

性能损失10-20%

Customer

自定制的存储方案

由实现方式确定

我们可以在Web.Config中配置程序使用的Session存储方式.默认情况下是InProc， 即保存在IIS进程中. 关于Off， InProc和Customer本文不做讲解. 相关文章大家都可以在网上搜索到.

下面主要讲解 StateServer 和 SQLServer 的应用.

四.使用 StateServer 模式搭建Session服务器

(1)服务器端配置

1.启动 Asp State service服务.(这个服务默认的状态为手动.修改为自动并启动.)

2.修改注册表: [HKEY_LOCAL_MACHINE“SYSTEM“ControlSet001“Services“aspnet_state“Parameters]

设置 AllowRemoteConnection = 1 ， 设置 Port = 42424 (十进制，默认即为42424)

Port是服务的端口号

AllowRemoteConnection 表示是否允许其他机器连接，0为仅能本机使用，1为可以供其他机器使用.

(2)客户端设置

在Web应用程序的Web.Config中， 我们需要修改 / 的节点.如果没有

没有则添加(默认使用的是InProc方式)

mode=StateServer

stateConnectionString=tcpip=服务器ip:42424

cookieless=false

timeout=60/

上面的参数我们可以根据需要修改.

五.使用SqlServer模式搭建Session服务器

(1)服务器端配置

使用SqlServer模式搭建Session服务器端有两种方式. ASP.NET 1.0和1.1版本请使用方式a， 2.0即以上版本请使用方式b.

a.使用SQL文件创建Session数据库

在ASP.NET 1.0和1.1 版本中， 只能使用这种方式.对于2.0及其以上版本，请使用aspnet_regsql.exe工具.(当然此方法也通用2.0版本)

提供了数据库安装脚本，可以在机器的windows文件夹中找到:

C:“WINDOWS“Microsoft.NET“Framework“v2.0.50727“ InstallSqlState.sql

C:“WINDOWS“Microsoft.NET“Framework“v2.0.50727“ InstallSqlStateTemplate.sql

根据ASP.NET的版本不同， 需要使用不同的SQL脚本. ASP.NET主要有1.1和2.0两个版本，可以在不同的版本文件夹找到这两个SQL.

InstallSqlState.sql 是创建默认名称的数据库[ASPState].此SQL可以直接运行.