分享
 
 
 

ASP.NET 1.1 无 Cookie SessionID 重写

王朝asp·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

浏览器的会话使用存储在 SessionID 属性中的唯一标识符进行标识。会话 ID 使 ASP.NET 应用程序能够将特定的浏览器与 Web 服务器上相关的会话数据和信息相关联。会话 ID 的值在浏览器和 Web 服务器间通过 Cookie 进行传输,如果指定了无 Cookie 会话,则通过 URL 进行传输。

ASP.NET 通过自动在页的 URL 中插入唯一的会话 ID 来保持无 Cookie 会话状态。例如,下面的 URL 已被 ASP.NET 修改,以包含唯一的会话 ID lit3py55t21z5v55vlm25s55:

http://www.example.com/s(lit3py55t21z5v55vlm25s55)/orderform.aspx

如果一个包含无 Cookie SessionID 的链接被多个浏览器共享时(可能通过搜索引擎或其他程序),此行为可能导致对会话数据的意外共享。可以通过禁用会话标识符的回收来降低多个客户端共享会话数据的可能性。为此,将 sessionState 配置元素的 regenerateExpiredSessionId 属性设置为 true。这样,在使用已过期的会话 ID 发起无 Cookie 会话请求时,将生成一个新的会话 ID。

——摘自 MSDN

.NET2.0中我们已可以通过重写SessionIDManager 类来改变SessionID 的生成机制和验证方法来防止会话数据的意外共享(即出现多个浏览器被识别为同一个会话,共用一个Session),可在.NET1.1中却没有相关的类让我们改变SessionID 的生成机制(封装死了),但受一篇文章的启发,我们可以在SessionID 生成之后对它进行处理。文章是老外写的,由于本人阅读能力有限,偶可没时间去看一大版唧唧歪歪的鹰文,直接下了代码来看。还好代码不算多,思路也很清晰,大概了解了他实现重写SessionID的原理,我改了下在无Cookie 会话中完美实现了。

相关代码

using System;

using System.Web;

using System.Web.SessionState;

using System.Web.Security;

using System.Configuration;

using System.Security.Cryptography;

using System.Runtime.Serialization;

using System.Globalization;

using System.Text;

public class SecureSessionModule : IHttpModule

{

private static string _ValidationKey = null;

public void Init (HttpApplication app)

{

if (_ValidationKey == null)

_ValidationKey = GetValidationKey ();

app.AcquireRequestState+=new EventHandler(app_AcquireRequestState);

}

void app_AcquireRequestState (Object sender, EventArgs e)

{

_ValidationKey=GetValidationKey();//每天生成一个KEY提高安全性

HttpContext current = ((HttpApplication) sender).Context;

//将处理后的SessionID存在Session["ASP.NET_SessionID"]中

string sessionid = GetSession (current, "ASP.NET_SessionID");

if (sessionid != null)

{

if (sessionid.Length <= 24)

RedirectUrl(current);

string id = sessionid.Substring (0, 24);

string mac1 = sessionid.Substring (24);

string mac2 = GetSessionIDMac (id, current.Request.UserHostAddress, current.Request.UserAgent, _ValidationKey);

// 用户客户端信息发生的变化,比对失败

if (String.CompareOrdinal(mac1, mac2) != 0)

{

RedirectUrl(current);

}

}

else

{

RedirectUrl(current);

}

}

private void RedirectUrl(HttpContext current)

{

//重定向页面以重新生成新的SessionID

current.Response.Redirect(current.Request.Url.ToString(),true);

}

private string GetValidationKey ()

{

string key = DateTime.Now.ToShortDateString();

return key;

}

private string GetSession (HttpContext current, string name)

{

object id = FindSession(current.Session,name);

if (id == null)

{

// 将用户客户端信息加密存储在Session中以便比对

id= current.Session.SessionID+GetSessionIDMac (current.Session.SessionID, current.Request.UserHostAddress,

current.Request.UserAgent, _ValidationKey);

current.Session[name] = id;

}

return id.ToString();

}

private object FindSession (HttpSessionState session, string name)

{

return session[name];

}

private string GetSessionIDMac (string id, string ip, string agent, string key)

{

StringBuilder builder = new StringBuilder (id, 512);

builder.Append (ip);

builder.Append (agent);

using (HMACSHA1 hmac = new HMACSHA1 (Encoding.UTF8.GetBytes (key)))

{

return Convert.ToBase64String (hmac.ComputeHash (

Encoding.UTF8.GetBytes (builder.ToString ())));

}

}

public void Dispose () {}

}相关配置如下:

<configuration>

<system.web>

<httpModules>

<add name="SecureSession" type="SecureSessionModule,SecureSessionModule" />

</httpModules>

</system.web>

</configuration>

大家看了代码后就会知道,它实现的原理主要是因为不可能有相同IP电脑客户端同时访问一台服务器,当出现SessionID相同但他们客户端信息不同时就自动将后一个访问的客户端重定向以新建一个会话。

遗憾的是在WAP上应用时就有问题了,由于客户端信息没IP唯一标识(移动不给手机号信息了),所以如果相同型号的手机访问时就无法区分,不知哪位高人有没更好的解决办法,还望不吝赐教

题外话:工作忙,时间紧,抄得多,写得少,有问题,请留言。欢迎大家多交流沟通~~~

http://www.cnblogs.com/outman2008/archive/2007/02/25/655804.html

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有