Session是伺服器對象,用於保持用戶的會話狀態。例如:

Session["key1"] = DateTime.Now;

用戶向伺服器提交請求時,伺服器會給用戶分配一個SessionId,保存在用戶瀏覽器的Cookies中。ASP.NET使用了120bit的標識符用以標識每個Session。這是足夠安全的、不可逆的設計。用戶頁面切換時,Session對象的變量不會被清除。 ASP.NET_SessionId是全局的,只要Cookies還存在,伺服器就會認為這是同一個用戶,從而實現了每個用戶都有自己獨立的全局Session域。當用戶再去請求的時候,在http頭把這個SessionID的Cookie發到伺服器端,伺服器就以這個SessionId作為key在伺服器端的Session中尋找;如果找到了就證明這個用戶的狀態是存在的。

關閉Session的辦法:

  • web.config的<configuration>\<system.web>\<httpModules>之中全局關閉:<sessionState mode="Off"/>
  • 在web.config中設置:<pages enableSessionState="ReadOnly"> 或True, False,
  • aspx頁的Page指令行,設置EnableSessionState為3個值之一:True, False, ReadOnly

從Session集合中移除所有項目,使用Session.Remove(strSessionName)或Session.RemoveAll()或Session.Clear();取消當前的Session,使用Session.Abandon()。

在ASP.NET中,有以下幾種Session模式可以使用:

  • InProc:可能會丟失數據,因為網站會各種原因可能重啟;Session保存的東西越多,就越佔用伺服器內存;伺服器的內存不能在多台伺服器間共享。在web.config中設置<sessionState mode="InProce" timeout="30" />
  • StateServer:在web.config中設置<sessionState mode="StateServer" stateConnectionString="tcpip=127.0.0.1:42424" stateNetworkTimeout="10" />。要求讀寫到Session中的類必須聲明為[Serializable]。
  • SQLServer:需要使用aspnet_regsql.exe配置數據庫,其命令行格式為-S ServerName -U username -P password -ssadd -sstype p。然後,SQL Server數據庫的ASPState庫將有兩張表:ASPStateTempApplications與ASPStateTempSessions。
  • Custom:從基類SessionStateStoreProviderBase開發出自定義的Provider,你也能通過實現ISessionIDManager接口來產生SessionID。需實現4個方法:
    • Initialize方法中,我們能設置一個自定義Provider。將提供給Provider初始化連接。
    • SetItemExpireCallback被用作提供SessionTimeOut(Session過期),當Session過期時我們能註冊一個方法進行調用。
    • InitializeRequest在請求發起的時候被調用
    • CreateNewStoreData在創建一個 SessionStateStoreData(Session數據存儲類)實例時候被調用。