Session登陆后丢失的解决办法。

1。打开web.config文件，设置如下：

<!--  会话状态设置
          默认情况下，ASP.NET 使用 Cookie 来标识哪些请求属于特定的会话。
          如果 Cookie 不可用，则可以通过将会话标识符添加到 URL 来跟踪会话。
         若要禁用 Cookie，请设置 sessionState cookieless="true"。
    -->
    <sessionState
            mode="StateServer"             //就是修改这里为“StateServer”
            stateConnectionString="tcpip=127.0.0.1:42424"
            sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
            cookieless="false"
            timeout="30"
    />

2。打开“控制面板--管理工具--服务”，找到ASP.NET State Service这个服务，将其设为自动启动。

 蛙蛙推荐:一套.net窗体身份验证方案(解决了防止用户重复登陆,session超时等问题) 
 
一．      设置web.config相关选项 





先启用窗体身份验证和默认登陆页,如下。 





<authentication mode="Forms"> 





       <forms loginUrl="default.aspx"></forms> 





</authentication> 





设置网站可以匿名访问，如下 





<authorization> 





           <allow users="*" /> 





</authorization> 





然后设置跟目录下的admin目录拒绝匿名登陆，如下。注意这个小节在System.Web小节下面。 





     <location path="admin"> 





       <system.web> 





           <authorization> 





              <deny users="?"></deny> 





           </authorization> 





       </system.web> 





</location> 





把http请求和发送的编码设置成GB2312,否则在取查询字符串的时候会有问题，如下。 





<globalization requestEncoding="gb2312" responseEncoding="gb2312" /> 





设置session超时时间为1分钟，并启用cookieless，如下。 





<sessionState mode="InProc" cookieless="true" timeout="1" /> 





为了启用页面跟踪，我们先启用每一页的trace，以便我们方便的调试，如下。 





<trace enabled="true" requestLimit="1000" pageOutput="true" traceMode="SortByTime" localOnly="true" /> 





二．      设置Global.asax文件 





处理Application_Start方法，实例化一个哈西表，然后保存在Cache里 





    protected void Application_Start(Object sender, EventArgs e) 





    { 





       Hashtable h=new Hashtable(); 





       Context.Cache.Insert("online",h); 





} 





    在Session_End方法里调用LogoutCache()方法，方法源码如下 





/**//// <summary> 





    /// 清除Cache里当前的用户,主要在Global.asax的Session_End方法和用户注销的方法里调用      /// </summary> 





    public void LogoutCache() 





    { 





       Hashtable h=(Hashtable)Context.Cache["online"]; 





       if(h!=null) 





       { 





           if(h[Session.SessionID]!=null) 





           h.Remove(Session.SessionID); 





           Context.Cache["online"]=h; 





       } 





} 





三．      设置相关的登陆和注销代码 





登陆前调用PreventRepeatLogin()方法，这个方法可以防止用户重复登陆，如果上次用户登陆超时大于1分钟，也就是关闭了所有admin目录下的页面达到60秒以上，就认为上次登陆的用户超时，你就可以登陆了，如果不超过60秒，就会生成一个自定义异常。在Cache["online"]里保存了一个哈西表,哈西表的key是当前登陆用户的SessionID,而Value是一个ArrayList,这个ArrayList有两个元素,第一个是用户登陆的名字第二个元素是用户登陆的时间,然后在每个admin目录下的页刷新页面的时候会更新当前登陆用户的登陆时间,而只admin目录下有一个页打开着,即使不手工向服务器发送请求,也会自动发送一个请求更新登陆时间,下面我在页面基类里写了一个函数来做到这一点,其实这会增加服务器的负担,但在一定情况下也是一个可行的办法. 





/**//// <summary> 





       /// 防止用户重复登陆,在用户将要身份验证前使用 





       /// </summary> 





       /// <param name="name">要验证的用户名字</param> 





       private void PreventRepeatLogin(string name) 





       { 





           Hashtable h=(Hashtable)Cache["online"]; 





           if(h!=null) 





           { 





              IDictionaryEnumerator e1=h.GetEnumerator(); 





              bool flag=false; 





              while(e1.MoveNext()) 





              {                 





                  if((string)((ArrayList)e1.Value)[0]==name) 





                  { 





                     flag=true; 





                     break; 





                  } 





              } 





              if(flag) 





              { 





                  TimeSpan ts=System.DateTime.Now.Subtract(Convert.ToDateTime(((ArrayList)e1.Value)[1])); 





                  if(ts.TotalSeconds<60) 





                     throw new oa.cls.MyException("对不起，你输入的账户正在被使用中，如果你是这个账户的真正主人，请在下次登陆时及时的更改你的密码，因为你的密码极有可能被盗窃了!"); 





                  else 





                     h.Remove(e1.Key);        





              } 





           } 





           else 





           { 





              h=new Hashtable(); 





           } 





           ArrayList al=new ArrayList(); 





           al.Add(name); 





           al.Add(System.DateTime.Now); 





           h[Session.SessionID]=al; 





           if(Cache["online"]==null) 





           { 





              Context.Cache.Insert("online",h); 





           }else 





              Cache["Online"]=h;          





    } 





用户注销的时候调用上面提到LogoutCache()方法 





四．      设置admin目录下的的所有页面的基类 





using System; 





using System.Web; 





using System.Web.UI; 





using System.Web.UI.WebControls; 





using System.Web.UI.HtmlControls; 





using System.Collections; 






 


 



 


 



 


 



 


 


namespace oa.cls 





{ 





    public class MyBasePage : System.Web.UI.Page 





    { 






 


 


       /**//// <summary> 





       /// 获取本页是否在受保护目录,我这里整个程序在OA的虚拟目录下,受保护的目录是admin目录 





       /// </summary> 





       protected bool IsAdminDir 





       { 





           get 





           { 





              return Request.FilePath.IndexOf("/oa/admin")==0; 





           } 





       } 






 


 


       /**//// <summary> 





       /// 防止session超时,如果超时就注销身份验证并提示和转向到网站默认页 





       /// </summary> 





       private void PreventSessionTimeout() 





       { 





           if(!this.IsAdminDir) return; 





           if(Session["User_Name"]==null&&this.IsAdminDir) 





           {             





              System.Web.Security.FormsAuthentication.SignOut(); 





              this.Alert("登陆超时",Request.ApplicationPath) 





           } 





       } 





       /**//// <summary> 





       /// 每次刷新本页面的时候更新Cache里的登陆时间选项,在下面的OnInit方法里调用. 





       /// </summary> 





       private void UpdateCacheTime() 





       { 





           Hashtable h=(Hashtable)Cache["online"]; 





           if(h!=null) 





           { 





              ((ArrayList)h[Session.SessionID])[1]=DateTime.Now; 





           } 





           Cache["Online"]=h; 





       } 





       /**//// <summary> 





       /// 在跟踪里输出一个HashTable的所有元素,在下面的OnInit方法里调用.以便方便的观察缓存数据 





       /// </summary> 





       /// <param name="myList"></param> 





       private void TraceValues( Hashtable myList)  





       { 





           IDictionaryEnumerator myEnumerator = myList.GetEnumerator(); 





           int i=0; 





           while ( myEnumerator.MoveNext() ) 





           { 





              Context.Trace.Write( "onlineSessionID"+i, myEnumerator.Key.ToString()); 





              ArrayList al=(ArrayList)myEnumerator.Value; 





              Context.Trace.Write( "onlineName"+i, al[0].ToString()); 





              Context.Trace.Write( "onlineTime"+i,al[1].ToString()); 





              TimeSpan ts=System.DateTime.Now.Subtract(Convert.ToDateTime(al[1].ToString())); 





               Context.Trace.Write("当前的时间和此登陆时间间隔的秒数",ts.TotalSeconds.ToString()); 





              i++; 





           } 





       } 






 


 


       /**//// <summary> 





       /// 弹出信息并返回到指定页 





       /// </summary> 





       /// <param name="msg">弹出的消息</param> 





       /// <param name="url">指定转向的页面</param> 





       protected void Alert(string msg,string url) 





       { 





           string scriptString = "<script language=JavaScript>alert(\""+msg+"\");location.href=\""+url+"\"</script>"; 





           if(!this.IsStartupScriptRegistered("alert")) 





              this.RegisterStartupScript("alert", scriptString); 





       } 





       /**//// <summary> 





       /// 为了防止常时间不刷新页面造成会话超时,这里写一段脚本,每隔一分钟向本页发送一个请求以维持会话不被超时，这里用的是xmlhttp的无刷新请求 





       /// 这个方法也在下面的OnInit方法里调用 





       /// </summary> 





       protected void XmlReLoad() 





       {      





           System.Text.StringBuilder htmlstr=new System.Text.StringBuilder(); 





           htmlstr.Append("<SCRIPT LANGUAGE=\"JavaScript\">"); 





           htmlstr.Append("function GetMessage(){"); 





           htmlstr.Append("  var xh=new ActiveXObject(\"Microsoft.XMLHTTP\");"); 





           htmlstr.Append("  xh.open(\"get\",window.location,false);"); 





           htmlstr.Append("  xh.send();"); 





           htmlstr.Append("  window.setTimeout(\"GetMessage()\",60000);"); 





           htmlstr.Append("}"); 





           htmlstr.Append("window.onload=GetMessage();"); 





           htmlstr.Append("</SCRIPT>       "); 





           if(!this.IsStartupScriptRegistered("xmlreload")) 





              this.RegisterStartupScript("alert", htmlstr.ToString()); 





       } 






 


 


       override protected void OnInit(EventArgs e) 





       { 





           base.OnInit(e); 





           this.PreventSessionTimeout(); 





           this.UpdateCacheTime(); 





           this.XmlReLoad(); 





           if(this.Cache["online"]!=null) 





           { 





              this.TraceValues((System.Collections.Hashtable)Cache["online"]); 






 


 


           } 





       } 





    } 






 


 


} 





五．      写一个自定义异常类 





首先要在跟目录下写一个错误显示页面ShowErr.aspx，这个页面根据传递过来的查询字符串msg的值，在一个Label上显示错误信息。 





using System; 






 


 


namespace oa.cls 





{ 





    /**//// <summary> 





    /// MyException 的摘要说明。 





    /// </summary> 





    public class MyException:ApplicationException 





    { 






 


 


           /**//// <summary> 





           /// 构造函数 





           /// </summary> 





           public MyException():base() 





           { 





           } 





           /**//// <summary> 





           /// 构造函数 





           /// </summary> 





           /// <param name="ErrMessage">异常消息</param> 





           public MyException(string Message):base(Message) 





           { 





               System.Web.HttpContext.Current.Response.Redirect("~/ShowErr.aspx?msg="+Message); 





           } 





           /**//// <summary> 





           /// 构造函数 





           /// </summary> 





           /// <param name="Message">异常消息</param> 





           /// <param name="InnerException">引起该异常的异常类</param> 





           public MyException(string Message,Exception InnerException):base(Message,InnerException) 





           { 





           } 





       } 





} 





六．总结 





我发现在Session里保存的值，比如session["name"]是没有任何向服务器的请求达到1分钟后就会自动丢失,但是session ID是关闭同一进程的浏览器页面后达1分钟后才会丢失并更换的,因为只要你开着浏览器就会有session ID,无论是在url里保存还是在cookies里。不知道这个结论对不对，反正我在设置了session的timeout为1分钟后，session["name"]的值已经没有了，可是SessionID还是旧的，Global.asax里的Session_End里的代码也没有执行，而身份验证票据也没有丢失。我不知道这三者之间的关系是怎样的，谁先谁后，好像在<authentication>小节可以设置一个timeout属性，不过项目赶的紧，我没时间研究了。 





以上这些代码比较零散，我花费了2天的时间才总结出来这套方案，不是很完美，但是暂时只能这样了，不能在这方面浪费很多时间了，大家可以把上面的代码组织到一个类里，然后把方法都修改成静态方法方便调用。 





最后大家有什么建议和改进的意见欢迎和我交流。