ASP.NET(C#)中web.config檔案詳解

一、認識Web.config檔案
   Web.config 檔案是一個XML文字檔，它用來儲存 ASP.NET Web 應用程式的配置資訊（如最常用的設定ASP.NET Web 應用程式的身分識別驗證方式），它可以出現在應用程式的每一個目錄中。當你通過.NET建立一個Web應用程式後，預設情況下會在根目錄自動建立一個預設的Web.config檔案，包括預設的配置設定，所有的子目錄都繼承它的配置設定。如果你想修改子目錄的配置設定，你可以在該子目錄下建立一個Web.config檔案。它可以提供除從父目錄繼承的配置資訊以外的配置資訊，也可以重寫或修改父目錄中定義的設定。
(一).Web.Config是以XML檔案規格儲存,設定檔分為以下格式
1.配置節處理常式聲明
特點：位於設定檔的頂部，包含在<configSections>標誌中。
2.特定應用程式配置
特點: 位於<appSetting>中。可以定義應用程式的全域常量設定等資訊.
3.配置節設定
特點: 位於<system.Web>節中，控制Asp.net運行時的行為.
4.配置節組
特點: 用<sectionGroup>標記，可以自訂分組，可以放到<configSections>內部或其它<sectionGroup>標記的內部.
(二).配置節的每一節
1.<configuration>節根項目，其它節都是在它的內部.
2.<appSetting>節此節用於定義應用程式設定項。對一些不確定設定，還可以讓使用者根據自己實際情況自己設定
用法:
I.<appSettings>
<add key="Conntction" value="server=192.168.85.66;userid=sa;password=;database=Info;"/>
<appSettings>
定義了一個連接字串常量，並且在實際應用時可以修改連接字串，不用修改程式代碼.
II.<appSettings>
<add key="ErrPage" value="Error.aspx"/><appSettings> 定義了一個錯誤重新導向頁面.
3.<compilation>節
格式:
<compilation
defaultLanguage="c#"
debug="true"
/>
I.default language: 定義後台代碼語言,可以選擇C#和VB.net兩種語言.
IIdebug : 為true時，啟動aspx調試；為false不啟動aspx調試，因而可以提高應用程式運行時的效能。一般程式員在開發時設定為true,交給客戶時設定為false.
4.<customErrors>節
格式:
<customErrors
mode="RemoteOnly"
defaultRedirect="error.aspx"
<error statusCode="440" redirect="err440page.aspx"/>
<error statusCode="500" redirect="err500Page.aspx"/>
/>
I.mode : 具有On,Off,RemoteOnly 3種狀態。On表示始終顯示自訂的資訊; Off表示始終顯示詳細的asp.net錯誤資訊; RemoteOnly表示只對不在本地Web伺服器上啟動並執行使用者顯示自訂資訊.
II.defaultRedirect: 用於出現錯誤時重新導向的URL地址. 是可選的
III.statusCode: 指明錯誤狀態代碼，表明一種特定的出錯狀態.
IV. redirect:錯誤重新導向的URL.
5.<globalization>節
格式:
<globalization
requestEncoding="utf-8"
responseEncoding="utf-8"
fileEncoding="utf-8"
/>
I.requestEncoding: 它用來檢查每一個發來請求的編碼.
II.responseEncoding: 用於檢查發回的響應內容編碼.
III.fileEncoding: 用於檢查aspx,asax等檔案解析的預設編碼.
6.<sessionState>節
格式:
<sessionState
mode="InProc"
stateConnectionString="tcpip=127.0.0.1:42424"
sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
cookieless="false"
timeout="20"
/>
I.mode: 分為off,Inproc,StateServer,SqlServer幾種狀態
mode = InProc 儲存在進程中特點：具有最佳的效能，速度最快,但不能跨多台伺服器儲存共用.mode = "StateServer" 儲存在狀態伺服器中特點:   當需要跨伺服器維護使用者會話資訊時，使用此方法。但是資訊儲存在狀態伺服器上，一旦狀態伺服器出現故障，資訊將丟失. mode="SqlServer" 儲存在Sql Server中特點:工作負載會變大，但資訊不會丟失.
II. stateConnectionString :指定Asp.net應用程式儲存遠端工作階段狀態的伺服器名，預設為本機
III.sqlConnectionString:當用工作階段狀態資料庫時，在這裡設定連接字串
IV. Cookieless:設定為true時，表示不使用cookie工作階段狀態來標識客戶；否則，相反.
V. TimeOut:用來定義工作階段狀態儲存的時間，超到期限，將自動終止會話.
7.<authentication>節
格式:
<authentication mode="Forms">
<forms name=".ASPXUSERDEMO" loginUrl="Login.aspx" protection="All" timeout="30"/>
</authentication>
<authorization>
<deny users="?"/>
</authorization>
I.Windows: 使用IIS驗證方式
II.Forms: 使用基於表單的驗證方式
III.Passport: 採用Passport cookie驗證模式
IV.None: 不採用任何驗證方式
裡面內嵌Forms節點的屬性涵義:
I.Name: 指定完成身分識別驗證的Http cookie的名稱.
II.LoginUrl: 如果未通過驗證或逾時後重新導向的頁面URL，一般為登入頁面，讓使用者重新登入
III.Protection: 指定 cookie資料的保護方式.
可設定為: All None Encryption Validation四種保護方式
a. All表示加密資料，並進行有效性驗證兩種方式
b. None表示不保護Cookie.
c. Encryption表示對Cookie內容進行加密
d. validation表示對Cookie內容進行有效性驗證
IV. TimeOut: 指定Cookie的失效時間. 逾時後要重新登入.
在運行時對Web.config檔案的修改不需要重啟服務就可以生效（註：<processModel> 節例外）。當然Web.config檔案是可以擴充的。你可以自訂新配置參數並編寫配置節處理常式以對它們進行處理。
web.config設定檔（預設的配置設定）以下所有的代碼都應該位於
<configuration>
<system.web>
和
</system.web>
</configuration>
之間，出於學習的目的下面的樣本都省略了這段XML標記。
1、<authentication> 節
作用：配置 ASP.NET 身分識別驗證支援（為Windows、Forms、PassPort、None四種）。該元素只能在電腦、網站或應用程式層級聲明。<authentication> 元素必需與<authorization> 節配合使用。
樣本：
以下樣本為基於表單（Forms）的身分識別驗證配置網站，當沒有登陸的使用者訪問需要身分識別驗證的網頁，網頁自動跳轉到登陸網頁。
<authentication mode="Forms" >
<forms loginUrl="logon.aspx" name=".FormsAuthCookie"/>
</authentication>
其中元素loginUrl表示登陸網頁的名稱，name表示Cookie名稱。
2、<authorization> 節
作用：控制對 URL 資源的用戶端訪問（如允許匿名使用者存取）。此元素可以在任何層級（電腦、網站、應用程式、子目錄或頁）上聲明。必需與<authentication> 節配合使用。
樣本：以下樣本禁止匿名使用者的訪問
<authorization>
   <deny users="?"/>
</authorization>
註：你可以使用user.identity.name來擷取已經過驗證的當前的使用者名稱；可以使用web.Security.FormsAuthentication.RedirectFromLoginPage方法將已驗證的使用者重新導向到使用者剛才請求的頁面.具體的
3、<compilation>節
作用：配置 ASP.NET 使用的所有編譯設定。預設的debug屬性為“True”.在程式編譯完成交付使用之後應將其設為False（Web.config檔案中有詳細說明，此處省略樣本）
4、<customErrors>
作用：為 ASP.NET 應用程式提供有關自訂錯誤資訊的資訊。它不適用於 XML Web services 中發生的錯誤。
樣本：當發生錯誤時，將網頁跳轉到自訂的錯誤頁面。
<customErrors defaultRedirect="ErrorPage.aspx" mode="RemoteOnly">
</customErrors>
其中元素defaultRedirect表示自訂的錯誤網頁的名稱。mode元素表示：對不在本地 Web 服務器上啟動並執行使用者顯示自訂(友好的)資訊。
5、<httpRuntime>節
作用：配置 ASP.NET HTTP 運行庫設定。該節可以在電腦、網站、應用程式和子目錄層級聲明。
樣本：控制使用者上傳檔案最大為4M，最長時間為60秒，最多請求數為100
<httpRuntime maxRequestLength="4096" executionTimeout="60" appRequestQueueLimit="100"/>
6、 <pages>
作用：標識特定於頁的配置設定（如是否啟用工作階段狀態、檢視狀態，是否檢測使用者的輸入等）。<pages>可以在電腦、網站、應用程式和子目錄層級聲明。
樣本：不檢測使用者在瀏覽器輸入的內容中是否存在潛在的危險資料（註：該項預設是檢測，如果你使用了不檢測，一要對使用者的輸入進行編碼或驗證)，在從用戶端回傳頁時將檢查加密的檢視狀態，以驗證檢視狀態是否已在用戶端被篡改。(註：該項預設是不驗證）
<pages buffer="true" enableViewStateMac="true" validateRequest="false"/>
7、<sessionState>
作用：為當前應用程式配置工作階段狀態設定（如設定是否啟用工作階段狀態，工作階段狀態儲存位置）。
樣本：
<sessionState mode="InProc" cookieless="true" timeout="20"/>
</sessionState>
註：
mode="InProc"表示：在本地儲存工作階段狀態（你也可以選擇儲存在遠程伺服器或SAL伺服器中或不啟用工作階段狀態）
cookieless="true"表示：如果使用者瀏覽器不支援Cookie時啟用工作階段狀態(預設為False）
timeout="20"表示：會話可以處於空閑狀態的分鐘數
8、<trace>
作用：配置 ASP.NET Tracing Service，主要用來程式測試判斷哪裡出錯。
樣本：以下為Web.config中的預設配置：
<trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true" />
註：
enabled="false"表示不啟用跟蹤；
requestLimit="10"表示指定在伺服器上儲存的跟蹤請求的數目
pageOutput="false"表示只能通過跟蹤工具 + 生產力訪問跟蹤輸出；
traceMode="SortByTime"表示以處理跟蹤的順序來顯示跟蹤資訊
localOnly="true" 表示跟蹤查看器 (trace.axd) 只用於宿主 Web 服務器
自訂Web.config檔案配置
自訂Web.config檔案配置節過程分為兩步。
1.在設定檔頂部 <configSections> 和 </configSections>標記之間聲明配置節的名稱和處理該節中配置資料的 .NET Framework 類的名稱。
2.是在 <configSections> 地區之後為聲明的節做實際的配置設定。
樣本：建立一個節儲存資料庫連接字串
<configuration>
　 <configSections>
　 <section name="appSettings" type="System.Configuration.NameValueFileSectionHandler, System, Version=1.0.3300.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
</configSections>
　 <appSettings>
　　 <add key="scon" value="server=a;database=northwind;uid=sa;pwd=123"/>
　 </appSettings>
　 <system.web>
　　 ......
　 </system.web>
</configuration>
訪問Web.config檔案你可以通過使用ConfigurationSettings.AppSettings 靜態字串集合來訪問 Web.config 檔案樣本：擷取上面例子中建立的連接字串。例如：
protected static string Isdebug = ConfigurationSettings.AppSettings["debug"]
二、web.config中的session配置詳解
開啟某個應用程式的設定檔Web.config後，我們會發現以下這段：
<sessionState
　　mode="InProc"
　　stateConnectionString="tcpip=127.0.0.1:42424"
　　sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
　　cookieless="false"
　　timeout="20"
/>
　　這一段就是配置應用程式是如何儲存Session資訊的了。我們以下的各種操作主要是針對這一段配置展開。讓我們先看看這一段配置中所包含的內容的意思。sessionState節點的文法是這樣的：
<sessionState mode="Off|InProc|StateServer|SQLServer"
             cookieless="true|false"
             timeout="number of minutes"
             stateConnectionString="tcpip=server:port"
             sqlConnectionString="sql connection string"
             stateNetworkTimeout="number of seconds"
/>
必須有的屬性是：屬性選項描述
mode 設定將Session資訊儲存到哪裡
Ø         Off 設定為不使用Session功能，
Ø         InProc 設定為將Session儲存在進程內，就是ASP中的儲存方式，這是預設值，
Ø         StateServer 設定為將Session儲存在獨立的狀態服務中，
Ø         SQLServer 設定將Session儲存在SQL Server中。
可選的屬性是：屬性選項描述
Ø         cookieless 設定用戶端的Session資訊儲存到哪裡，
Ø         ture 使用Cookieless模式，
Ø         false 使用Cookie模式，這是預設值，
Ø         timeout 設定經過多少分鐘後伺服器自動放棄Session資訊，預設為20分鐘。
stateConnectionString 設定將Session資訊儲存在狀態服務中時使用的伺服器名稱和連接埠號碼，例如："tcpip=127.0.0.1:42424”。當mode的值是StateServer是，這個屬性是必需的。
sqlConnectionString 設定與SQL Server串連時的連接字串。例如"data source= localhost;Integrated Security=SSPI;Initial Catalog=northwind"。當mode的值是 SQLServer時，這個屬性是必需的。
stateNetworkTimeout 設定當使用StateServer模式儲存Session狀態時，經過多少秒空閑後，斷開Web伺服器與儲存狀態資訊的伺服器的TCP/IP串連的。預設值是10秒鐘。
ASP.NET中用戶端Session狀態的儲存
　　在我們上面的Session模型簡介中，大家可以發現Session狀態應該儲存在兩個地方，分別是用戶端和伺服器端。用戶端只負責儲存相應網站的SessionID，而其他的Session資訊則儲存在伺服器端。在ASP中，用戶端的SessionID實際是以Cookie的形式儲存的。如果使用者在瀏覽器的設定中選擇了禁用Cookie，那末他也就無法享受Session的便利之處了，甚至造成不能訪問某些網站。為瞭解決以上問題，在 ASP.NET中用戶端的Session資訊儲存方式分為：Cookie和Cookieless兩種。
　　ASP.NET中，預設狀態下，在用戶端還是使用Cookie儲存Session資訊的。如果我們想在用戶端使用Cookieless的方式儲存Session資訊的方法如下：
　　找到當前Web應用程式的根目錄，開啟Web.Config檔案，找到如下段落：
<sessionState
　　mode="InProc"
　　stateConnectionString="tcpip=127.0.0.1:42424"
　　sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
　　cookieless="false"
　　timeout="20"
/>
　　這段話中的cookieless="false"改為：cookieless="true"，這樣，用戶端的Session資訊就不再使用 Cookie儲存了，而是將其通過URL儲存。關閉當前的IE，開啟一個新IE，重新訪問剛才的Web應用程式，就會看到類似下面的樣子：
其中，http://localhost/MyTestApplication/(ulqsek45heu3ic2a5zgdl245) /default.aspx中黑體標出的就是用戶端的Session ID。注意，這段資訊是由IIS自動加上的，不會影響以前正常的串連。
ASP.NET中伺服器端Session狀態的儲存準備工作：
　　為了您能更好的體驗到實驗現象，您可以建立一個叫做SessionState.aspx的頁面，然後把以下這些代碼添加到<body></body>中。
<scriptrunat="server">
Sub Session_Add(sender As Object, e As EventArgs)
　 Session("MySession") = text1.Value
　 span1.InnerHtml = "Session data updated! <P>Your session contains: <font color=red>" & Session("MySession"). ToString() & "</font>"
End Sub
Sub CheckSession(sender As Object, eAs EventArgs)
　 If (Session("MySession")Is Nothing) Then
　　　 span1.InnerHtml = "NOTHING, SESSION DATA LOST!"
　 Else
　　　 span1.InnerHtml = "Your session contains: <font color= red>" & Session("MySession").ToString() & "<  /font>"
End If
End Sub
</script>
<formrunat="server"id="Form2">
　 <inputid="text1"type="text"runat="server"name="text1">
　 <inputtype="submit"runat="server"OnServerClick="Session_Add" value="Add to Session State " id="Submit1"name="Submit1">
　 <inputtype="submit"runat="server"OnServerClick="CheckSession" value=" View Session State " id="Submit2"name="Submit2">
</form>
<hrsize="1">
<fontsize="6"><spanid="span1"runat="server" /></font>
　　這個SessionState.aspx的頁面可以用來測試在當前的伺服器上是否丟失了Session資訊。
將伺服器Session資訊儲存在進程中
　　讓我們來回到Web.config檔案的剛才那段段落中：
<sessionState
　　mode="InProc"
　　stateConnectionString="tcpip=127.0.0.1:42424"
　　sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
　　cookieless="false"
　　timeout="20"
/>
　　當mode的值是InProc時，說明伺服器正在使用這種模式。
　　這種方式和以前ASP中的模式一樣，就是伺服器將Session資訊儲存在IIS進程中。當IIS關閉、重起後，這些資訊都會丟失。但是這種模式也有自己最大好處，就是效能最高。應為所有的Session資訊都儲存在了IIS的進程中，所以IIS能夠很快的訪問到這些資訊，這種模式的效能比進程外儲存Session資訊或是在SQL Server中儲存Session資訊都要快上很多。這種模式也是ASP.NET的預設。
　　好了，現在讓我們做個實驗。開啟剛才的SessionState.aspx頁面，隨便輸入一些字元，使其儲存在Session中。然後，讓我們讓IIS重起。注意，並不是使當前的網站停止再開始，而是在IIS中原生機器名的節點上點擊滑鼠右鍵，選擇重新啟動IIS。(想當初使用NT4時，重新啟動IIS必須要重新啟動電腦才行，微軟真是@#$%^&)返回到SessionState.aspx頁面中，檢查剛才的Session資訊，發現資訊已經丟失了。
將伺服器Session資訊儲存在進程外
　　首先，讓我們來開啟管理工具->服務，找到名為：ASP.NET State Service的服務，啟動它。實際上，這個服務就是啟動一個要儲存Session資訊的進程。啟動這個服務後，你可以從Windows工作管理員->進程中看到一個名為 aspnet_state.exe的進程，這個就是我們儲存Session資訊的進程。
　　然後，回到Web.config檔案中上述的段落中，將mode的值改為StateServer。儲存檔案後的重新開啟一個IE，開啟 SessionState.aspx頁面，儲存一些資訊到Session中。這時，讓我們重起IIS，再回到SessionState.aspx頁面中查看剛才的Session資訊，發現沒有丟失。
　　實際上，這種將Session資訊儲存在進程外的方式不光指可以將資訊儲存在原生進程外，還可以將Session資訊儲存在其他的伺服器的進程中。這時，不光需要將mode的值改為StateServer，還需要在stateConnectionString中配置相應的參數。例如你的計算你是192.168.0.1，你想把Session儲存在IP為192.168.0.2的電腦的進程中，就需要設定成這樣： stateConnectionString="tcpip=192.168.0.2:42424"。當然，不要忘記在192.168.0.2的電腦中裝上.NET Framework，並且啟動ASP.NET State Services服務。
將伺服器Session資訊儲存在SQL Server中
　　首先，還是讓我們來做一些準備工作。啟動SQL Server和SQL Server代理服務。在SQL Server中執行一個叫做 InstallSqlState.sql的指令檔。這個指令檔將在SQL Server中建立一個用來專門儲存Session資訊的資料庫，及一個維護Session資訊資料庫的SQL Server代理作業。我們可以在以下路徑中找到那個檔案：
[system drive]winntMicrosoft.NETFramework[version]
　　然後開啟查詢分析器，串連到SQL Server伺服器，開啟剛才的那個檔案並且執行。稍等片刻，資料庫及作業就建立好了。這時，你可以開啟企業管理器，看到新增了一個叫ASPState的資料庫。但是這個資料庫中只是些預存程序，沒有使用者表。實際上Session資訊是儲存在了tempdb 資料庫的ASPStateTempSessions表中的，另外一個ASPStateTempApplications表格儲存體了ASP中 Application對象資訊。這兩個表也是剛才的那個指令碼建立的。另外查看管理->SQL Server代理->作業，發現也多了一個叫做ASPState_Job_DeleteExpiredSessions的作業，這個作業實際上就是每分鐘去ASPStateTempSessions 表中刪除到期的Session資訊的。
　　接著，我們返回到Web.config檔案，修改mode的值改為SQLServer。注意，還要同時修改sqlConnectionString的值，格式為：
sqlConnectionString="data source=localhost; Integrated Security=SSPI;"
　　其中data source是指SQL Server伺服器的IP地址，如果SQL Server與IIS是一台機子，寫127.0.0.1 就行了。Integrated Security=SSPI的意思是使用Windows整合身分識別驗證，這樣，訪問資料庫將以ASP.NET的身份進行，通過如此配置，能夠獲得比使用userid=sa;password=口令的SQL Server驗證方式更好的安全性。當然，如果SQL Server運行於另一台電腦上，你可能會需要通過Active Directory域的方式來維護兩邊驗證的一致性。
　　同樣，讓我們做個實驗。向SessionState.aspx中添加Session資訊，這時發現Session資訊已經存在 SQL Server中了，即使你重起電腦，剛才的Session資訊也不會丟失。現在，你已經完全看見了Session資訊到底是什麼樣子的了，而且又是儲存在SQL Server中的，能幹什麼就看你的發揮了。
總結
三、Asp.net 關於form認證的一般設定
asp.net 關於form認證的一般設定：
1: 在web.config中，加入form認證；
   <authentication mode="Forms">
            <forms name="auth" loginUrl="index.aspx" timeout="30"></forms>
</authentication>
<authorization>
        <deny users="?" />
</authorization>
2: 如果有註冊頁面時還應該允許匿名使用者調用註冊頁面進行註冊;
以下代碼應該在<configuration><system.web>之間,而不應該包含到<system.web>..</system.web>之間;
----------------表示允許匿名使用者對 userReg.aspx頁面進行訪問.
<location path="userReg.aspx">
<system.web>
     <authorization>
         <allow users="?" />
     </authorization>
</system.web>
</location>
3 在登入成功後要建立身分識別驗證票, 表明已經通過認證的合法使用者;
if(登陸成功)
System.Web.Security.FormsAuthentication.SetAuthCookie(使用者名稱稱, false);
四、訪問Web.config檔案
訪問<appSettings>配置節：
string Isdebug =System.Configuration.ConfigurationSettings.AppSettings["scon"].ToString();
訪問<connectionStrings>配置節：
string SqlConStr=System.Configuration.ConfigurationManager.ConnectionStrings["SqlConStr"].ToString();