ASP.NET Cookie SessionID 重写
浏览器的会话使用存储在 sessionid 属性中的唯一标识符进行标识。会话 id 使 asp.net 应用程序能够将特定的浏览器与 web 服务器上相关的会话数据和信息相关联。会话 id 的值在浏览器和 web 服务器间通过 cookie 进行传输,如果指定了无 cookie 会话,则通过 url 进行传输。 .net2.0中我们已可以通过重写sessionidmanager 类来改变sessionid 的生成机制和验证方法来防止会话数据的意外共享(即出现多个浏览器被识别为同一个会话,共用一个session),可在.net1.1中却没有相关的类让我们改变sessionid 的生成机制(封装死了),但受一篇文章的启发,我们可以在sessionid 生成之后对它进行处理。文章是老外写的,由于本人阅读能力有限,偶可没时间去看一大版唧唧歪歪的鹰文,直接下了代码来看。还好代码不算多,思路也很清晰,大概了解了他实现重写sessionid的原理,我改了下在无cookie 会话中完美实现了。 public class securesessionmodule : ihttpmodule public void init (httpapplication app) void app_acquirerequeststate (object sender, eventargs e) httpcontext current = ((httpapplication) sender).context; //将处理后的sessionid存在session["asp.net_sessionid"]中 if (sessionid != null) string id = sessionid.substring (0, 24); string mac2 = getsessionidmac (id, current.request.userhostaddress, current.request.useragent, _validationkey); // 用户客户端信息发生的变化,比对失败 private void redirecturl(httpcontext current) private string getvalidationkey () return key; private string getsession (httpcontext current, string name) private object findsession (httpsessionstate session, string name) private string getsessionidmac (string id, string ip, string agent, string key) using (hmacsha1 hmac = new hmacsha1 (encoding.utf8.getbytes (key))) public void dispose () {} 大家看了代码后就会知道,它实现的原理主要是因为不可能有相同ip电脑客户端同时访问一台服务器,当出现sessionid相同但他们客户端信息不同时就自动将后一个访问的客户端重定向以新建一个会话。 题外话:工作忙,时间紧,抄得多,写得少,有问题,请留言。欢迎大家多交流沟通~~~
asp.net 通过自动在页的 url 中插入唯一的会话 id 来保持无 cookie 会话状态。例如,下面的 url 已被 asp.net 修改,以包含唯一的会话 id lit3py55t21z5v55vlm25s55:
http://www.example.com/s(lit3py55t21z5v55vlm25s55)/orderform.aspx
如果一个包含无 cookie sessionid 的链接被多个浏览器共享时(可能通过搜索引擎或其他程序),此行为可能导致对会话数据的意外共享。可以通过禁用会话标识符的回收来降低多个客户端共享会话数据的可能性。为此,将 sessionstate 配置元素的 regenerateexpiredsessionid 属性设置为 true。这样,在使用已过期的会话 id 发起无 cookie 会话请求时,将生成一个新的会话 id。
――摘自 msdn
相关代码
using system;
using system.web;
using system.web.sessionstate;
using system.web.security;
using system.configuration;
using system.security.cryptography;
using system.runtime.serialization;
using system.globalization;
using system.text;
{
private static string _validationkey = null;
{
if (_validationkey == null)
_validationkey = getvalidationkey ();
app.acquirerequeststate+=new eventhandler(app_acquirerequeststate);
}
{
_validationkey=getvalidationkey();//每天生成一个key提高安全性
string sessionid = getsession (current, "asp.net_sessionid");
{
if (sessionid.length <= 24)
redirecturl(current);
string mac1 = sessionid.substring (24);
if (string.compareordinal(mac1, mac2) != 0)
{
redirecturl(current);
}
}
else
{
redirecturl(current);
}
}
{
//重定向页面以重新生成新的sessionid
current.response.redirect(current.request.url.tostring(),true);
}
{
string key = datetime.now.toshortdatestring();
}
{
object id = findsession(current.session,name);
if (id == null)
{
// 将用户客户端信息加密存储在session中以便比对
id= current.session.sessionid+getsessionidmac (current.session.sessionid, current.request.userhostaddress,
current.request.useragent, _validationkey);
current.session[name] = id;
}
return id.tostring();
}(文章来源 www.iocblog.net)
{
return session[name];
}
{
stringbuilder builder = new stringbuilder (id, 512);
builder.append (ip);
builder.append (agent);
{
return convert.tobase64string (hmac.computehash (
encoding.utf8.getbytes (builder.tostring ())));
}
}
}相关配置如下:
<configuration>
<system.web>
<httpmodules>
<add name="securesession" type="securesessionmodule,securesessionmodule" />
</httpmodules>
</system.web>
</configuration>
遗憾的是在wap上应用时就有问题了,由于客户端信息没ip唯一标识(移动不给手机号信息了),所以如果相同型号的手机访问时就无法区分,不知哪位高人有没更好的解决办法,还望不吝赐教
http://www.cnblogs.com/outman2008/archive/2007/02/25/655804.html
Tag: cookie ,SessionID
文章整理:iocblog
版权申明:本站文章均来自网络,如有侵权,请联系我们,我们收到后立即删除,谢谢!
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有。