Asp.NET 的Session實現原理 轉自21kaiyun.com

 Session天天用，但是你真的理解了嗎？

今天遇到了這個問題，於是研究了一下。要解決這個問題，首先就要明白一些Session的機理。Session在伺服器是以散列表形式存在的，我們都知道Session是會話級的，每個使用者訪問都會產生一個Session。那麼伺服器是怎麼區分不同使用者的Session？又是怎麼將不同使用者的Session與不同的使用者綁定的呢？下面我們來研究一下，以下純屬我個人的理解，如有錯誤請指證。

Session在伺服器端是以散列表的形式存在的，區分每一個Session是通過SessionID來實現的，所以可以說這個SessionID是一個Key是一個全域唯一的值。我們可以通過ASP.NET來列印出SessionID，如下代碼：

  

protected void Page_Load(object sender, EventArgs e)
        {
            Response.Write(Session.SessionID.ToString());
        }

 

這樣我們就得到了這樣的值：0julmoedn0kz3gyfnr1vksv0,有點像是GUID，就算不是演算法也都是類似的，主要就是為了保證全域唯一性。這樣就達到了區分不同使用者的Session的目的。接下來還有第二個問題，那就是SessionID有了，但是它又是怎麼和相應的訪問者（使用者）綁定的呢？比如說使用者A訪問維護了自己的SessionID,使用者B訪問也維護了自己的SessionID。我們都知道web是基於http無連結的，他們又是怎麼做到的呢？沒錯，答案就是在用戶端儲存了自己的SessionID。瀏覽器儲存SessionID有兩種方式，一種就是利用Cookies;還有一種就是利用url參數(這種我們不常用,很不友好)。

話題說到Cookies上來了，怎麼的？沒想到Session和Cookies還有這樣的關係吧？(很多人知道，別BS我)沒錯，當我們請求一個URL時候，伺服器會產生一個全域的SessionID，並且把這個值以Cookies的形式儲存在用戶端也就是瀏覽器（這裡暫不討論url方式）。這樣當使用者再去請求的時候，在http頭把這個SessionID的Cookie發到伺服器端，伺服器就去找這個SessionID，如果找到了。就證明這個使用者的狀態是存在的。

知道了這個原理，我們的問題也就有眉頭了，即然是用Cookies來儲存SessionID，那麼我們就可以在Cooikes上做手腳了。我們都知道Cooikes記錄方式是以域(例如21世紀開運網：http://www.21kaiyun.com/)為區分的，這也是各種瀏覽器規定的。如果不這麼做，安全性就會有問題。我們要做的就是讓指定Cookies的父域方式，不指定具體指域，這樣Cookies就可以跨子域了。Cookies可以像這樣指定域：

 

 protected void Page_Load(object sender, EventArgs e)
        {
            Response.Cookies["MyCook"].Domain = ".local.com";
        }

 

   這樣，我們所有的二級域全部是認這一個主域的，比如a.local.com;b.local.com;user.local.com等等。有了這個認識，我想大家心裡也有數了，該怎麼怎麼做，但是現在問題是用來產生SessionID的方法是ASP.NET自動實現的，我們又怎麼去幹涉它呢？這是這樣做的，不主動幹涉它，但是我可以操作它的Cookies啊。接下來我們就研究ASP.NET存SessionID的Cooike的名字是什麼。經過網上很容易就尋找到了，名字是：ASP.NET_SessionId，這個就是SessionId的Cookies名字。我們可以在Session_Start中這樣寫：

 

 

代碼

 protected void Session_Start(object sender, EventArgs e)
        {
            Response.Cookies["ASP.NET_SessionId"].Value = Session.SessionID.ToString();
            Response.Cookies["ASP.NET_SessionId"].Domain = ".local.com";
        }

代碼的意思是每次會話開始的時候，我都把ASP.NET_SessionId這個Cookie重寫成我們已有的SessionID,並且把這個Cookie的domain指定為父域，比如:.local.com,這樣就可以實現跨子域的Session共用了。怎麼樣很簡單吧？

我們還有一個外題問題，就是用戶端儲存的問題解決了，但是伺服器端的Session怎麼辦？一般情況下我們不同的子域做的是指向不同的伺服器的，比如user.local.com 專門一台伺服器，yellow.local.com專門一台伺服器。這時它們別說是進程了，連物理上都不是一個了。Session怎麼共用？這時就用到另一個方法了，我們預設的Session是儲存在asp.net進程中的，這樣沒法互相訪問，如下面所示：

 

 <sessionState mode="InProc" />

 

我們可以修改為State Server方式，這是一個單獨的服務可以用來儲存ASP.NET Session的，它支援分布式遠程主機的，這樣我們可以用一台伺服器來提供Session服務，如下所示：

 

 <sessionState mode="StateServer" stateConnectionString="tcpip=127.0.0.1:42424" timeout="30" />

 

這樣，就完全實現了不同子域的Session共用了。

前面說到Url儲存SessionId的方式，由於不常用，給大家示範一下，如下配置就可以了：

 

    <sessionState mode="StateServer" stateConnectionString="tcpip=127.0.0.1:42424" timeout="30" cookieless="true" />