调用WebService方法 Session丢失

发布时间：2020-12-16 23:52:23 所属栏目：安全来源：网络整理

导读：现象是调用WebService中的服务，结果返回后再跳转到父页面发现Session丢失了首先Session的原理由网上查找得到转自http://bbs.csdn.net/topics/390638853 Session就是服务器给客户端的一个编号。当一台www服务器运行时，可能有若干个用户浏览正在这台服务器

现象是调用WebService中的服务，结果返回后再跳转到父页面发现Session丢失了

首先Session的原理由网上查找得到

转自http://bbs.csdn.net/topics/390638853

Session就是服务器给客户端的一个编号。当一台www服务器运行时，可能有若干个用户浏览正在这台服务器上的网站。当每个用户首次与这台www服务器建立连接时，他就与这个服务器建立了一个Session，同时服务器会自动为其分配一个SessionID，用以标识这个用户的唯一身份。这?个SessionID是由www服务器随机产生的一个由24个字符组成的字符串，我们会在下面的实验中见到它的实际样子。这个唯一的SessionID是有很大的实际意义的。当一个用户提交了表单时，浏览器会将用户的SessionID自动附加在HTTP头信息中，（这是浏览器的自动功能，用户不会察觉到），当服务器处理完这个表单后，将结果返回给SessionID所对应的用户。试想，如果没有SessionID，当有两个用户同时?进行注册时，服务器怎样才能知道到底是哪个用户提交了哪个表单呢。所以,SessionID的作用是不可用语言来形容的.

由于Asp.net程序是默认配置，所以Web.Config文件中关于Session的设定如下：??
<sessionState?
mode='InProc'?
stateConnectionString='tcpip=127.0.0.1:42424'?
sqlConnectionString='data?source=127.0.0.1;Trusted_Connection=yes'?
cookieless='true'?
timeout='60'/>
我们会发现sessionState标签中有个属性mode，它可以有3种取值：InProc、StateServer?SQLServer（大小写敏感）。默认情况下是InProc，也就是将Session保存在进程内（IIS5是aspnet_wp.exe，而IIS6是W3wp.exe），这个进程不稳定，在某些事件发生时，进程会重起，所以造成了存储在该进程内的Session丢失。
哪些情况下该进程会重起呢？微软的一篇文章告诉了我们：
1、配置文件中processModel标签的memoryLimit属性
2、Global.asax或者Web.config文件被更改
3、Bin文件夹中的Web程序（DLL）被修改
4、杀毒软件扫描了一些.config文件。
解决办法：
前面说到的sessionState标签中mode属性可以有三个取值，除了InProc之外，还可以为StateServer、SQLServer。这两种存Session的方法都是进程外的，所以当aspnet_wp.exe重起的时候，不会影响到Session。
现在请将mode设定为StateServer。StateServer是本机的一个服务，可以在系统服务里看到服务名为ASP.NET?State?Service的服务，默认情况是不启动的。当我们设定mode为StateServer之后，请手工将该服务启动。这样，我们就能利用本机的StateService来存储Session了，除非电脑重启或者StateService崩掉，否则Session是不会丢的（因Session超时被丢弃是正常的）。
除此之外，我们还可以将Session通过其他电脑的StateService来保存[如使用状态服务器]。具体的修改是这样的。同样还在sessionState标签中，有个stateConnectionString='tcpip=127.0.0.1:42424'属性，其中有个ip地址，默认为本机（127.0.0.1），你可以将其改成你所知的运行了StateService服务的电脑IP，这样就可以实现位于不同电脑上的Asp.net程序互通Session了。
如果你有更高的要求，需要在服务期重启时Session也不丢失，可以考虑将mode设定成SQLServer，同样需要修改sqlConnectionString属性。关于使用SQLServer保存Session的操作，请访问这里。
在使用StateServer或者SQLServer存储Session时，所有需要保存到Session的对象除了基本数据类型（默认的数据类型，如int、string等）外，都必须序列化。只需将[Serializable]标签放到要序列化的类前就可以了。
如：
[Serializable]?
public?class?MyClass?
{?
????......?
}

得到结论是默认的InProc调用WebService可能会造成Session的丢失，因此利用ASP.NET ?StateService服务来存储Session，在Web.config中添加<sessionState timeout="60000" cookieless="false" mode="StateServer"></sessionState> 问题解决

另附另一篇SessionState文章:

转自http://www.cnblogs.com/snlfq2000/archive/2009/11/15/1603234.html

web.config关于sessionState节点的配置方案，sessionState有四种模式：off,inProc,StateServer,SqlServer。

1、off模式

从字面上就可以看出这个是关闭模式，如果当前页面不需要session的值，为了减少服务器资源，你可以去掉Session的开销。

<sessionState mode="off">或者页面上

<%@ Page EnableSessionState="false" %>来关闭Session。

2、inProc模式(缺省模式)

它允许“无Cookie”的会话，以及在服务器之外存储
会话数据。ASP.NET会话状态模块在Web.config文件中像下面这样配置：

在这个例子中，mode属性设为InProc（默认值），表明会话状态要由ASP.NET存储到内存中，而且
不用Cookie来传递会话ID。采取这种方式，不管Cookie还是隐藏表单字段都用不着了。
所以，即使网页中没有使用表单，也能加入会话。但是这种方法，应用程序的状态将依赖于 ASP.NET进程，当IIS进程崩溃或者正常重启时，保存在
进程中的状态将丢失。

3、StateServer会话管理mos

将mode属性设为StateServer，也就是将会话数据存储到单独的内存缓冲区中，再由单独一台机器上运行

的Windows服务来控制这个缓冲区。状态服务全称是“ASP.NET State Service ”（aspnet_state.exe），计算机管理-服务里面即可看到此服务，启动该服务j

它由Web.config文件中的stateConnectionString属性来配置。该属性指定了服务所在的服务器，以及要监

视的端口：
<sessionState mode="StateServer"?
??? stateConnectionString="tcpip=myserver:42424"
??? cookieless="false" timeout="20" />
???
在这个例子中，状态服务在一台名为myserver的机器的42424端口（默认端口）运行。要在服务器上改变

端口，可编辑HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesaspnet_stateParameters注册表项中的Port值。

显然，使用状态服务的优点在于进程隔离，并可在Web farm(网站群)中共享。使用这种模式，会话状态的存储将不

依赖于iis进程的失败或者重启，然而，一旦状态服务中止，所有会话数据都会丢失。换言之，状态服务不

像SQL Server那样能持久存储数据；它只是将数据存储在内存中。

4 用SQL Server进行会话管理?

?? ASP.NET还允许将会话数据存储到一个数据库服务器中，方法是将mode属性变成SqlServer。?
在这种情况下，ASP.NET尝试将会话数据存储到由sqlConnectionString属性（其中包含数据源以及登录服

务器所需的安全凭证）指定的SQL Server中。

为了用恰当的数据库对象来配置SQL erver，管理员还需要创建ASPState数据库，
方法是运行WinDirMicrosoft.NetFrameworkVersion文件夹中的InstallSqlState.sql脚本（WinDir是服务

器的Windows文件夹，而Version是你使用的.NET框架版本的安装文件夹）。

要配置SQL服务器，可以在命令行中运行SQL Server 提供的命令行工具osql.exe

osql -S [ server name] -U [user] -P [password] -i InstallSqlState.sql
例如
osql -S (local)NetSDK -U sa -P "" -i InstallSqlState.sql

在这里用户名必须是SQL服务器上的sa帐号，或者具有同等权限的其他帐号。有兴趣的读者可以打开
这个脚本文件来了解ASP.NET是如何和SQL Server配合实现状态管理的。??

?? 卸载这些表和存储过程，可以使用UninstallSqlState.sql脚本，使用方法与上面类似。做好必要的数据库准备工作后，将web.config 文件中的sessionstate 元素的mode改为"sqlserver"
,并且指定SQL连接字符串。具体如下：

mode="sqlserver"
sqlConnectionString="data source=127.0.0.1; userid=sa; password="

配置好SQL Server后，应用程序代码运行时就和InProc模式没有什么区别。但要注意的是，由于数据不存储在本地内存，所以存储会话状态的对象需要进行序列化和反序列化，以便通过网络传给数据库服务器，以及从数据库服务器传回。这当然会影响性能。通过在数据库中存储会话状态，可分别针对扩展性及可靠性来有效地平衡性能。另外，可以利用SQL Server的集群，使状态存储不依赖于单个的SQL Server，这样就可以为应用程序提供极大限度的可靠性。

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!