ASP.NET中 SessionID的本质

最新推荐文章于 2025-06-21 15:07:56 发布

原创最新推荐文章于 2025-06-21 15:07:56 发布 · 8.9k 阅读

3 ·

CC 4.0 BY-SA版权

ASP.NET 专栏收录该内容

24 篇文章

订阅专栏

本文详细解析了Web开发中Session的工作原理，包括SessionID的生成与传递、Session数据的存储方式及生命周期管理等内容。通过实例演示了如何在实际项目中运用Session进行用户认证与权限管理。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

一、客户端用cookie保存了sessionID

客户端用cookie保存了sessionID，当我们请求服务器的时候，会把这个sessionID一起发给服务器，服务器会到内存中搜索对应的sessionID，如果找到了对应的 sessionID，说明我们处于登录状态，有相应的权限；如果没有找到对应的sessionID，这说明：要么是我们把浏览器关掉了（后面会说明为什么），要么session超时了（没有请求服务器超过20分钟），session被服务器清除了，则服务器会给你分配一个新的sessionID。你得重新登录并把这个新的sessionID保存在cookie中。
在没有把浏览器关掉的时候（这个时候假如已经把sessionID保存在cookie中了）这个sessionID会一直保存在浏览器中，每次请求的时候都会把这个sessionID提交到服务器，所以服务器认为我们是登录的；当然，如果太长时间没有请求服务器，服务器会认为我们已经所以把浏览器关掉了，这个时候服务器会把该sessionID从内存中清除掉，这个时候如果我们再去请求服务器，sessionID已经不存在了，所以服务器并没有在内存中找到对应的 sessionID，所以会再产生一个新的sessionID，这个时候一般我们又要再登录一次。

二、客户端没有用cookie保存sessionID

这个时候如果我们请求服务器，因为没有提交sessionID上来，服务器会认为你是一个全新的请求，服务器会给你分配一个新的sessionID，这就是为什么我们每次打开一个新的浏览器的时候（无论之前我们有没有登录过）都会产生一个新的sessionID（或者是会让我们重新登录）。
当我们一旦把浏览器关掉后，再打开浏览器再请求该页面，它会让我们登录，这是为什么？我们明明已经登录了，而且还没有超时，sessionID肯定还在服务器上的，为什么现在我们又要再一次登录呢？这是因为我们关掉浏览再请求的时候，我们提交的信息没有把刚才的sessionID一起提交到服务器，所以服务器不知道我们是同一个人，所以这时服务器又为我们分配一个新的sessionID,打个比方：浏览器就好像一个要去银行开户的人，而服务器就好比银行，这个要去银行开户的人这个时候显然没有帐号（sessionID），所以到银行后，银行工作人员问有没有帐号，他说没有，这个时候银行就会为他开通一个帐号。所以可以这么说，每次打开一个新的浏览器去请求的一个页面的时候，服务器都会认为，这是一个新的请求，他为你分配一个新的sessionID。

1.Session是一种Web会话中的常用状态之一。

2.Session提供了一种把信息保存在服务器内存中的方式。他能储存任何数据类型，包含自定义对象。

3.每个客户端的Seesion是独立存储的。

4.在整个会话过程中，只要SessionID的cookie不丢失，都会保存Session信息的。

5.Session不能跨进程访问，只能由该会话的用户访问。应为提取Session数据的id标识是以Cookie的方式保存到访问者浏览器的缓存里的。

6.当会话终止，或过期时，服务器就清除Session对象。

7.Session常用于保存登录用户的ID.

8.Session保存的数据是跨页面全局型的。

Session的使用

这里我写入一个例子，便于下面阐述。

<head runat="server">
    <title></title>
    <script src="Scripts/jquery-1.4.1.min.js" type="text/javascript"></script>
    <script type="text/javascript">
        function getSessionClick(action) {   //这个函数是为了知道哪一个提交按钮被点击
            $("#hidlgc").val("");  //清空隐藏值
            $("#hidlgc").val(action);   //给隐藏控件赋值
        }
    </script>
</head>
<body>
    <form id="form1" method="post" action="MySession.aspx">
         <table>
            <tr>
                <td>账号：</td><td><input type="text" name="txtUid" /></td>`
            </tr>
            <tr>
               <td>密码：</td><td><input type="password" name="txtPwd" /></td>
             </tr>
             <tr>                
               <td colspan="2">
                    <input type="hidden" value="" id="hidlgc" name="hidlgclick" />  
                    <input onclick="getSessionClick('lgclick')" type="submit" value="登录" />
                    <input type="submit" onclick="getSessionClick('getSession')" value="获取session" />
                    <input type="submit" onclick="getSessionClick('backLg')" value="退出登录" />
                </td>
             </tr>
         </table>
    </form>
</body>

protected void Page_Load(object sender, EventArgs e)
        {
            //把用户id写入session中
            if (Request.Form["hidlgclick"] == "lgclick")
            {
                if(Request.Form["txtUid"].ToString()=="admin"&&Request.Form["txtUid"].ToString()=="admin") //判断用户登录
                {
                    Session["userName"] = Request.Form["txtUid"].ToString();  //把用户id保存到session中
                    Response.Write(Session["userName"].ToString()+"---点击登录"); //获取session，并写入页面
                }
            }
            //获取Session
            if (Request.Form["hidlgclick"] == "getSession")
            {
                if (Session["userName"] != null)
               {
                   Response.Write(Session["userName"].ToString() + "---点击获取session"); //获取session，并写入页面
                }
            }
            //取消当前会话，相当于注销（退出登录）。
           if (Request.Form["hidlgclick"] == "backLg")
            {
                Session.Abandon();
            }
        }

<system.web>
    <sessionState timeout="40"></sessionState>  <!---设置session的过期时间，时间以分钟为单位-->

Session原理（根据上面例子阐述）

一、session是怎么存储，提取的？

1.在服务器端有一个session池，用来存储每个用户提交session中的数据，Session对于每一个客户端（或者说浏览器实例）是“人手一份”，用户首次与Web服务器建立连接的时候，服务器会给用户分发一个SessionID作为标识。SessionID是一个由24个字符组成的随机字符串。用户每次提交页面，浏览器都会把这个SessionID包含在HTTP头中提交给Web服务器，这样Web服务器就能区分当前请求页面的是哪一个客户端,而这个SessionID是一cookie的方式保存的在客户端的内存中的，如果想要得到Session池中的数据，服务器就会根据客户端提交的唯一SessionID标识给出相应的数据返回。

2.输入正确的账号密码，点击登录，页面就会输出 “admin --- 点击登录”

二、Session池中每个客户端的数据是怎么存储的？

1.存储在Session池中的数据是全局型的数据，可以跨页面访问，每个SessionID中只存储唯一的数据，如：首先你这样设定：session["userName"]="admin",然后你在会话还没结束的session还没过期的情况下，你又设定：session["userName"]="123";这样这个SessionID没变，然而Session池中的数据则被覆盖。此时session["userName"]的值就是“123”，而不是其它。

2.Session池中的数据不能跨进程访问。如：打开login.aspx页面写入session[“userName”]="admin";然后login页面不关闭，即此会话不结束，在这是你再在另外一个浏览器中打开一个login.aspx页面则session["userName"]=null

3.输入账号密码，点击登录页面输出 “admin --- 点击登录” ，如果紧接着点击获取session按钮，则页面只输出"admin--- 点击获取session"，如果页面不关闭，打开另外一个浏览器，点击获取session按钮，则页面没法应。

三丶session的声明周期与销毁

1.session存储数据计时是滚动计时方式。具体是这样的，如果你打开写入session，从写入开始，此页面如果一直没有提交操作，则默认时间是20分钟，20分钟后session被服务器自动销毁，如过有提交操作，服务器会从提交后重新计时以此类推，直至设定时间内销毁。

2.可以设置session的销毁时间。上面代码有提到。

四丶session中保存的数据是在服务端的，而每个用户如进行登录操作，都要进行session数据写入，所以建议慎用session，就是少用。