zoukankan      html  css  js  c++  java
  • ASP应用程序与会话

    第3章 ASP应用程序与会话

    在前面的章节中介绍了ASP提供的访问一个客户请求和产生响应的方法,本章将讨论ASP的另两个对象。就是Application和 Session对象。这两个对象不是直接地与请求和响应的管理有关,而是更多地与ASP网页运行环境的管理相关。
    与建立Web站点或Web应用程序有关的共同问题之一,是使用HTTP协议时没有状态。状态提供了与一个指定用户有关的变量值、对象和其他资源,并且应用程序中的任意例程都能使用它;以一种像VB或C++这样的程序设计语言编写一般的基于客户的应用程序时,使用状态可以完成一些相应的工作。然而,Web并不提供这种能力。在本章中,读者将看到为什么和如何避免这个问题。
    本章还涉及到一些术语和技术问题。它迄今为止,本书中已经简单地讨论了“Web应用程序”,但没有真正确切地理解或准确定义它们到底是什么。本书也涉及到了“用户会话”,也没有相应的比较完全的描述。前面有意地省略这方面的内容,因为它们与ASP的应用程序和会话密切相关。下面将介绍ASP的Application和Session对象。
    本章研究的主要内容:
    ? Web应用程序是什么,以及它们如何与ASP Application对象相联系。
    ? ASP如何自动地创建和管理应用程序和会话。
    ? Application和Session对象提供的功能。
    ? 如何把Application和Seesion对象放入ASP网页中。
    首先研究整个内容的核心问题:状态。

    3.1 Web上的状态管理
        许多开发人员把应用程序传送到Web之前从来没考虑状态的概念。正如前面说过的,Web是一个无状态的环境。因此应该探讨一下状态是什么,了解能够避免产生问题的方法。

    3.1.1状态的准确定义
        在单用户程序中,创建一个可执行的应用程序时,例如使用VB建立一个.exe文件,可以声明一个全局(或Public)变量,然后在代码中任何地方可对其进行访问。在应用程序运行的所有时刻,时刻值一直是有效,并且是可访问的。
        对于一个传统的客户机/服务器解决方案,例如一个基于客户机的应用程序对一个基于服务器的数据库引擎进行访问的系统,每个客户端建立了一个与服务器和数据库应用程序的连接。这种连接通常是通过验证用户的方法来建立的。
        验证过程是典型的识别用户身份的过程,通过一个用户名和口令组合来证明是否为合法的用户。
        一旦通过验证,在客户端和基于服务器的应用程序之间就建立了连接,该连接在用户使用该应用程序的所有时间内一直保持有效。当用户注册到酵Windows 2000服务器上时,这一切便会发生。无论何时,管理员使用 “Active Directory Users and Computers”实用程序(单击“Start”菜单的“Administrative Tools”选项中的 “Directory Management”项)都可以观察到活动的用户连接。这个过程在许多系统中都相同,例如Microsoft SQL Server。
        这种永久的连接意味着:当用户发送指令或请求到服务器上时,服务器会很容易地识别每个用户。同样服务器的响应或任何其他用户的信息也能直接返回用户。要进一步指出的是服务器可以比较容易地存储与每个客户相关的值和信息,并在需要的时候提供给相应的客户。当然,服务器应用程序能够拥有主全局变量,以便于用户在需要的时候进行访问。
        这种识别每个客户端的请求并在内存中保存相关用户的值的能力构成状态。可以认为状态代表应用程序的值、环境以及用户的内部变量,并贯穿于应用程序和用户连接的整个过程。

    3.1.2 状态的重要性
        如果打算创建与用户进行交互的基于Web站点的应用程序,而不是仅显示独立页面的Web网站,必须能够为每个用户提供独立的状态。这可能只是记住他们的名字,也可能要为每个用户存储对象引用或不同的记录集。如果不能这样做,ASP网页就不能做更多的事情,因为该页面执行完成时,页面中的变量和其他相关资料都破坏了。录用户请求下一个页面时,这个页面提供的所有信息将全部失去。
        因此,需要找到一种方法,保存每个访问者的状态。能够存储对所有用户而言的全局值是非常重要。例如,一个Web风格的访问或页面点击计数器,它不为每个用户提供自己的计数器,用户们通常想要看到访问者的总数,而不仅仅是他们自己访问的次数。访问者的数目需要与应用程序级状态一起存储,而不是与用户级状态一起存储。 
        这不是一个刚出现的问题,自从商用站点占据了Web,就已经存在,甚至更早些。所以已有许多在Web上存储状态的传统的解决方案。Web站点管理员想要了解访问者以前是否曾访问过他们的网站,如果访问过,访问过多少次?还定期访问其他什么网站等。这样可以更好地制定其广告目标。所有这些都要求一种方法来存储有关用户在访问时所产生的网页请求或每次访问间的信息。

    3.1.3在Web上创建状态
        在页面请求和站点访问之间提供状态常用的方法是通过cookie。我们在前面的章节中已经看到,如何在客户端的计算机中存放相应的值,这些值与每个页面请求一起发送给对此cookie有效的域。通过用ASP检查和更新cookie,在某种程度上能够保持一个状态。可以使用所包含的信息来识别用户,然后把用户连接到一个已存储相应值的集合。
        例如,可以检测一个用户请求是否包含一个站点指定的cookie。如果不包含,则为该用户分配一个某种类型的标识,指明一个数量,并存储在带有一个长有效期的cookie中。以后该用户对这个站点的每一次访问,都能够检测到cookie并更新所包含的信息。同时可以收集有关访问的次数和持续时间的数据,并存储在服务器上,以备将来使用。
        但是,如果用户转移到另一个计算机,或删除了cookie,或者他们的浏览器拒绝接收发送给他们的cookie,会发生什么事情呢?在这种情况下,不能维持状态,因为下一次不能识别他们现在,Web上有许多cookie,大多数人会接受它们,而不加理会。如果打开浏览器中的“Warn before accepting cookies”选项,接着漫游几个大的站点,你就会明白其中的含意。
    1.  匿名访问者与授权的访问者
    如果认为cookie是一个有点草率的解决方案,可以使用更直接的方法。许多站点采用的一种方法是,在访问者点击一个站点时,或者点击一个要求验证身份的页面时,弹出一个进行登录的对话框。访问者首先必须进行注册,获得一个某种类型的用户名/口令的组合,才能允许访问相应的站点或页面。
    为了证实访问者是一个已知的并且合法的用户,在访问者的计算机上放置的一个cookie,它或者保存注册的详细数据,或者是一把表明已验证过身份的“钥匙(key)”。同时,访问者的详细数据永久地保存在服务器上,准备再次访问时使用。如果访问者的浏览器中有了这样一个cookie,他就可以自由地访问该网站,因为已经验证过了。
    如果cookie没有有效期限(Expires),cookie的值在关闭浏览器时自动消失,在下一次访问时必须重新注册和再次验证。当然,如果拒绝接收cookie或删除了cookie,就只能再次得到注册对话框。这样的话,如果不被识别,就不能访问该站点。
    通过强制用户就像注册到自己的网络一样注册到Web服务器,Windows 2000整体安全性能为IIS提供更强和更安全的验证功能。但是,这只能与Internet Explorer 3.0和之上版本的浏览器一起工作。IIS也可以使用BASIC验证允许非Microsoft浏览器注册Web服务器。
    2.  不再有匿名访问者
    在IIS Web服务器上使用ASP时,除非用户离开该站点到另一个网站或者关闭了浏览器,否则能在当前会话中跟踪用户。在本章的后面,将看到如何使用这个功能来标识一个访问者、存储用户的本地信息和提供状态。下面与已经讨论过的解决方案相比较,讨论其工作方式。
    ASP和IIS共同提出了一个用户会话的概念,通过ASP Session对象进行交互。在每个访问者第一次访问服务器上的一个ASP 网页时,为他创建一个新的并且独立的会话对象,分配给该会话一个会话标识号,并把包含会话标识符的特殊加密版本的一个cookie发送给客户。
    cookie的路径(参看前面的章节有关cookie属性的描述)设置为运行在服务器上的ASP应用程序的根路径。这很可能上缺省的Web网站的根目录(即“/”),但也可能会是另外一个值(稍后会看到)。在cookie中没有提供Expires值,所以当浏览器关闭时,cookie值也就消失。
    每当这个用户访问这个ASP网页,ASP都会查找这个cookie。命名为ASPSESSIONIDxxxxxxxx,其中每个x是一个字母字符。从第2章图2-7所示的ServerVariables集合,能够在HTTP报头中看到它。这里高亮地显示ASP cookie,如图3-1所示:

    图3-1 显示的cookie值
    但是,这个cookie不会出现在 Request.Cookies或Response.Cookies集合中,ASP把它隐藏起来,但仍保存在浏览器上。对于每个ASP网页请求,ASP都要查看该值。这个cookie包含的值,指明了这个用户的会话。因此,相应的Session对象(该对象在内存中已被处理,并且一直包含所有在前一页面请求过程中进行操作的值)的内容可以移交给ASP网页中的脚本。
    当然,如前所述,如果客户浏览器不接收或不支持这些cookie,这个处理将失败。在这种情况下,不能创建ASP会话,对这个访问者的状态也不进行自动维护。

    3.2 Web应用程序的定义
        前面的章节中已经多次使用过Web应用程序(Web Application)术语,所指的既不是一个真正意义上的Web网站,又不是一个传统的应用程序。换句话说,而是认为它是一些Web网页和用来完成某些任务的其他资源的一个集合。它隐含这样一层意思:有一个预定义的路线贯穿于网页之中,用户可做出选择或提供信息使任务能够完成。 
        例如,一个在线商店,你为了购买货物,进行反复的观察和选择,浏览一系列网页,收集所需要的信息,支付相应的费用,最后发出定单。也可能是一个“软件升级向导”,指导用户完成下载和安装新软件的过程,或者可能是一个基于Intranet的报价单或销售报告的生成工具。
        所有这些不同于“标准”的Web网站,一般的Web站点使用一系列菜单或导航栏以预先未定义的路径漫游该站点。但是一个Web应用程序远不只是受控制的导航器。自由地漫游于一个Web网站时,可以进行无状态的和匿名的访问,但Web应用程序一般不接受。

    3.2.1 ASP应用程序的定义
        上述内容可以认为是术语“Web应用程序”的一个合理的一般定义,但遗憾的是,在谈论有关 “ASP应用”时,仅这些还不够。回答什么是“Web应用”可以是主观的,而回答什么是“ASP应用”则需要从技术上的解释。在ASP中术语“应用程序”有自己特定的含义,在讨论如何实现之前,弄懂这个概念至关重要。
        ASP应用程序与两个主要的内容有关:
        ? 全局范围的规定,具有一个全局可访问的变量存储区域。
        ? 通过COM+与IIS的集成,可更好地管理组件。
        下面讨论这些内容。第二个内容涉及到其他ASP对象,其覆盖范围相应广泛。在下一章研究ASP Server对象时,将对这部分内容进行详细地讨论。
    1.     提供Web应用程序的全局范围
    ASP提供一个Application对象,基本上与前面讨论的Session对象相当。但是,这是在应用程序层而不是在用户层。换句话说,该对象是全局的,不是对单独用户的,而是对应用程序的所有用户,其作用域不限制为单独用户的访问。这与在一个正常的可执行应用程序中的全局(或Public)变量相同。Application对象可用于在全局环境中存储变量和信息(即状态),该应用程序内的任何ASP网页中运行的脚本都可访问这些值,而不管是哪个访问者发出的请求。
    但是,这没有回答主要问题:什么是一个ASP应用程序?为此,需要研究ASP内部的一些情况。
    当用户请求一个ASP网页时,IIS通过实例化asp.dll(用来实现ASP)创建一个环境(如第1章所述)。将该页面解释为服务器端脚本,相应的脚本引擎的实例用来执行该脚本。
    实例化的asp.dll初如事件启动一个ASP应用程序,创建一个Application对象。然后,为这个用户启动一个会话,并创建单独的Session对象。当更多的会话启动时,这个Application对象保留在作用域中(即已经实例化和可用)。一旦最后保持活动的会话结束,该应用程序就结束,并取消相应的Application对象。
    (1)  缺省的ASP应用
    Windows 2000在安装IIS和ASP时,创建一个缺省的Web站点。它被配置成一个ASP应用程序,涉及到在Properties对话框中针对站点根目录文件夹(缺省为C:InetpubWWWRoot)的一些设置。图3-2所示是缺省Web站点的Properties对话框的屏幕。

    图3-2 缺省Web网站的Properties对话框
    涉及到ASP应用程序的文件之一是global.asa。这个文件用于定制应用程序行为的方式。放置在应用程序的根目录下,可用于该目录下的所有子目录。因此,如果它放置在整个Web站点的根目录下,则定义整个网站作为缺省的ASP应用程序的一部分。
    在本章后面有关应用程序和会话事件的部分中,将看到这个文件及其使用方法。
    (2)  ASP虚拟应用程序
    如同在设置过程中创建缺省的应用程序一样,可以在该Web网站的任何子目录中创建属于自己的ASP虚拟应用程序。这个应用程序包含作为“应用程序目录”而定义的目录中所有的子目录。并且,这个目录和子文件夹也都是缺省应用程序的一部分,共享由缺省的Application对象创建的全局空间。
    事实上,在缺省的应用程序中存储的所有变量在子目录中的应用程序中也都是可用的。然而,如果该子目录应用程序中的一个ASP网页把一个值写入Application对象,而Application对象与缺省(根)应用程序中已存在的一个值有相同的名字,那么,原先的值在子目录应用程序中就不能再用。但是在其他的应用程序或ASP网页中,将保留原有的值,因为根目录的应用程序不能访问子目录应用中的值。
    从一个子程序或函数的变量的角度考虑这个问题。如果定义一个变量intMyValue为Public或全局的变量,可以从任何的子程序或函数内部访问该变量。但是,如果又声明一个具有相同名字的局部变量,并在该子程序或函数内对该变量进行引用,则得到此变量的局部值。不能再访问原先的值。当子程序或函数结束,局部值被撤消,全局变量原有的值仍然保留着:
    Public intMyValue = 42
    Function DoSomething()
        Response.Write intMyValue   ‘Gives 42 from global variable
        Dim intMyValue
        IntMyValue = 17
        Response.Write intMyValue   ‘Gives 17 from new local variable,but
                       ;              ‘the global value of MyValue is still 42
    End Function
    (3)  创建自己的ASP虚拟应用程序
    为了建立一个新的虚拟应用程序,使用Internet Services Manager应用程序或具有相同功能的HTML Web Manager网页。在 Internet Services Manager中,在要创建的虚拟应用程序的目录上单击右键,并选择New,接着选择Virtual Directory,屏幕如图3-3所示:

    图3-3 创建ASP虚拟应用程序的屏幕
    这个操作启动New Virtual Directory Wizard,该向导的开始屏幕提供有关向导的操作信息。单击Next,在第二页中键入新的虚拟应用程序的名字(或别名)。这个名字与Internet Services Manager中选择的目录的路径联合起来,将成为该应用程序的URL。屏幕如图3-4所示:

    图3-4 New Virtual Directory Wizard的屏幕
    为了把一个现有的目录转换为与该目录具有相同名字的一个应用程序,选择包含想要转换的目录,并在向导的Virtual Directory Alias页中使用该目录名。例如把已有的test目录转换为一个虚拟应用程序,应该在Internet Services Manager中选择Default Web Site条目,并提供一个别名“test”。
    再单击Next,指定包含该应用程序的内容(页面)的路径。单击Browser选择一个已有目录。这个目录是新的虚拟应用指向的目录。屏幕如图3-5所示:

    图3-5 指定路径时的屏幕
    单击Next打开Access Permissions页,选择给予这个应用程序的所有用户的权限。缺省值是Read和Run Scripts,对大多数用户而言是适合的。屏幕如图3-6所示:

    图3-6 设置用户许可权限时的屏幕
    如果想编写用户可直接执行的、定制的编译的CGI应用程序,只选择“Execute”:例如,用户通过在请求的URL中指定相应名字的方法执行的一个.exe文件,像“http://mysite.com/.../Test Application/create_user.exe?user=Jjones”。 
    单击Next,向导创建虚拟应用程序。在图3-7所示的屏幕中,可在左边的列表栏中看到带有一个包含一些填充物的打开的小盒子图标。

    图3-7 虚拟应用程序创建完成后的屏幕
    如果现在用右键单击新的应用程序并选择Properties,可以看到向导已经选择的设置。在这里可根据需要修改访问权限、 “Local Path”和“Application Settings”。同时会看到一个Remove按钮,可以用来删除该虚拟应用程序,如图3-8所示:

    图3-8 虚拟应用程序属性设置的屏幕

  • 相关阅读:
    利用Fiddler模拟通过Dynamics 365的OAuth 2 Client Credentials认证后调用Web API
    Dynamics CRM中的操作(action)是否是一个事务(transaction)?
    Dynamics CRM 2015/2016新特性之三十二:新增乐观并发处理
    Dynamics CRM 2015/2016新特性之三十三:有了ExecuteTransactionRequest,再也不用担心部分成功部分失败了
    提权案例(一)渗透某asp.net网站通过sql server数据库public 提权 思路分享
    windows 抓hash获取管理员密码
    第三方应用 flashfxp,filezilla提权
    第三方软件 G6ftp提权
    第三方软件 vnc提权
    第三方软件 radmin提权
  • 原文地址:https://www.cnblogs.com/winner/p/340189.html
Copyright © 2011-2022 走看看