C�mo y por qu� se reutilizan identificadores de sesi�n en ASP.NET

Id. de art�culo: 899918 - Ver los productos a los que se aplica este art�culo

Advertencia: Art�culo de Traducci�n Autom�tica, vea la exenci�n de responsabilidad.

Haga clic aqu� para ver en paralelo el art�culo de traducci�n autom�tica y el art�culo original en ingl�s.

Expandir todo | Contraer todo

INTRODUCCI�N

En este art�culo describe c�mo y por qu� se utilizan identificadores de sesi�n de Microsoft ASP.NET.

El estado de sesi�n de ASP.NET es una tecnolog�a que permite almacenar datos espec�ficos del usuario del lado del servidor. Las aplicaciones Web pueden utilizar estos datos para procesar las solicitudes del usuario para el que se crearon instancias el estado de sesi�n. Un usuario de estado de sesi�n se identifica mediante un identificador de sesi�n. El identificador de sesi�n se entrega mediante uno de los m�todos siguientes:

El identificador de sesi�n es parte de una cookie que se env�a al explorador del usuario.
El identificador de sesi�n se incrusta en la direcci�n URL. Esta t�cnica es tambi�n conocida como una sesi�n sin cookies .

Los identificadores de sesi�n son un n�mero aleatorio 120 bits representado por una cadena de 20 caracteres. Formato de la cadena para que se pueden incluir en una direcci�n URL y no es necesario que experimentar la codificaci�n URL. Por ejemplo, la cadena puede utilizarse en sesiones sin cookies. El m�todo m�s utilizado de proporcionar identificadores de sesi�n es mediante cookies para almacenar los identificadores de sesi�n.

Cuando un usuario abre por primera vez su explorador Web y, a continuaci�n, va a un sitio Web que implementa el estado de sesi�n de ASP.NET, una cookie se env�a al explorador con el nombre "ASP.NET_SessionId" y un valor de 20 caracteres.

Cuando el usuario explora dentro del mismo dominio DNS, el explorador Web contin�a enviando este cookie en el dominio para el que se ha originado.

Por ejemplo, app1.tailspintoys.com y app2.tailspintoys.com son ambas aplicaciones ASP.NET. Si el usuario va a app1.tailspintoys.com y, a continuaci�n, va a app2.tailspintoys.com, ambas aplicaciones utilizar�a la misma cookie y el mismo identificador de sesi�n de seguimiento del estado de sesi�n del usuario dentro de cada aplicaci�n. Las aplicaciones no comparten el mismo estado de sesi�n. Las aplicaciones s�lo comparten el identificador de sesi�n.

Por lo tanto, se pueden reutilizar identificadores de sesi�n por varias razones. Por ejemplo, si reutilizar identificadores de sesi�n, no es necesario hacer lo siguiente:

Crear un nuevo identificador de sesi�n criptogr�ficamente �nico cuando se presentan con una identificador de sesi�n v�lido.
Cree un identificador nueva sesi�n para cada aplicaci�n de ASP.NET est� en un �nico dominio.

Cuando la aplicaci�n Web requiere un inicio de sesi�n y ofrece un registro fuera de la p�gina o de opci�n, recomendamos que desactive el estado de sesi�n cuando el usuario ha iniciado la sesi�n fuera del sitio Web. Para borrar el estado de sesi�n, llame al m�todo Session.Abandon . El m�todo Session.Abandon permite vaciar el estado de sesi�n sin esperar el tiempo de espera de estado de sesi�n. De forma predeterminada, este tiempo de espera es un vencimiento variable 20 minutos. Este vencimiento se actualiza cada vez que el usuario realiza una solicitud al sitio Web y presenta la cookie del identificador de sesi�n. El m�todo Abandon establece un indicador en el objeto de estado de sesi�n que indica que debe ser abandona el estado de sesi�n. El indicador se examinan y actu� al final de la solicitud de p�gina. Por lo tanto, el usuario puede utilizar objetos de sesi�n dentro de la p�gina despu�s de llamar al m�todo Abandon . En cuanto se haya completado el procesamiento de p�gina, se quita la sesi�n.

Cuando utilizar el modo de estado de sesi�n en proceso, estos objetos de estado de sesi�n se almacenan en el HttpCache. El HttpCache admite un m�todo de devoluci�n de llamada cuando se cumplen las condiciones siguientes:

Se quita una entrada de cach�.
El Administrador de estado de sesi�n se registra el controlador del evento Session_OnEnd para se llama cuando se quita la entrada de cach�.

Cuando el Administrador de estado de sesi�n, se quita un objeto de estado de sesi�n que reside en la cach�, el Administrador de HttpCache llamar� a las devoluciones de llamada registradas. En efecto, este comportamiento provoca el controlador del evento Session_OnEnd .

Al abandonar una sesi�n, la cookie del identificador de sesi�n no se quitar� el explorador del usuario. Por lo tanto, tan pronto como se ha abandonado la sesi�n, cualquier solicitud nuevo a la misma aplicaci�n utilizar� el mismo identificador de sesi�n pero tendr� una instancia de estado de sesi�n nuevo. Al mismo tiempo, si el usuario abre otra aplicaci�n en el DNS mismo dominio, el usuario no perder� su estado de sesi�n despu�s de llamar el m�todo Abandon de una aplicaci�n.

A veces, quiz�s no desee reutilizar el identificador de sesi�n. Si realice y si entiende las consecuencias de no volver a utilizar el identificador de sesi�n, utilice en el ejemplo de c�digo siguiente se para abandonar una sesi�n y borrar la cookie del identificador de sesi�n:

Session.Abandon();
Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));

este ejemplo de c�digo borra el estado de sesi�n desde el servidor y establece la cookie de estado de sesi�n a null. El valor null eficazmente borra la cookie desde el explorador.

Cuando un usuario no registra de la aplicaci�n y se produce tiempo de espera de estado de la sesi�n, la aplicaci�n puede seguir utilizando la misma cookie de estado de sesi�n si el explorador no est� cerrado. Este comportamiento hace que el usuario se env�en a la p�gina de inicio de sesi�n y la cookie de estado de sesi�n del usuario que se presenten. Para garantizar que se utiliza un identificador de sesi�n nuevo cuando abra la p�gina de inicio de sesi�n (login.aspx), enviar una cookie null volver al cliente. Para ello, agregue una cookie a la colecci�n de respuesta. A continuaci�n, devolver la colecci�n de respuesta del cliente. La forma m�s sencilla de enviar una cookie null est� usando el m�todo Response.Redirect . Porque la colecci�n de cookies siempre tiene un valor para el ASP.NET_SessionId, simplemente no puede probar si esta cookie existe porque crear� un bucle Response.Redirect . Puede establecer una cadena de consulta en la redirecci�n a la p�gina de inicio de sesi�n.

O, tal como se muestra en el ejemplo de c�digo siguiente, puede utilizar una cookie distinta para indicar si ya se redirigen a la p�gina de inicio de sesi�n. Para mejorar la seguridad y aseg�rese de que nadie intenta abrir la p�gina de inicio de sesi�n mediante una segunda cookie junto con la cookie ASP.NET, en el ejemplo de c�digo siguiente se utiliza la clase FormsAuthentication para cifrar y descifrar los datos de cookies. A continuaci�n, el ejemplo de c�digo establece un tiempo de espera 5 segundos.

private void Page_Load(object sender, System.EventArgs e)
{ 
if( !IsPostBack && 
( Request.Cookies["__LOGINCOOKIE__"] == null ||
Request.Cookies["__LOGINCOOKIE__"].Value == "" ) )
{
//At this point, we do not know if the session ID that we have is a new
//session ID or if the session ID was passed by the client. 
//Update the session ID.

Session.Abandon();
Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));

//To make sure that the client clears the session ID cookie, respond to the client to tell 
//it that we have responded. To do this, set another cookie.
AddRedirCookie();
Response.Redirect( Request.Path );
}

//Make sure that someone is not trying to spoof.
try
{
FormsAuthenticationTicket ticket =
FormsAuthentication.Decrypt( Request.Cookies["__LOGINCOOKIE__"].Value );

if( ticket == null || ticket.Expired == true ) 
throw new Exception();

RemoveRedirCookie();
}
catch
{
//If someone is trying to spoof, do it again.
AddRedirCookie();
Response.Redirect( Request.Path );
}


Response.Write("Session.SessionID="+Session.SessionID+"<br/>");
Response.Write("Cookie ASP.NET_SessionId="+Request.Cookies["ASP.NET_SessionId"].Value+"<br/>");
} 

private void RemoveRedirCookie() 
{ 
Response.Cookies.Add(new HttpCookie("__LOGINCOOKIE__", "")); 
} 

private void AddRedirCookie()
{

FormsAuthenticationTicket ticket = 
new FormsAuthenticationTicket(1,"Test",DateTime.Now,DateTime.Now.AddSeconds(5), false,""); 
string encryptedText = FormsAuthentication.Encrypt( ticket ); 
Response.Cookies.Add( new HttpCookie( "__LOGINCOOKIE__", encryptedText ) );
}

Propiedades

Id. de art�culo: 899918 - �ltima revisi�n: viernes, 08 de septiembre de 2006 - Versi�n: 1.3

La informaci�n de este art�culo se refiere a:

Microsoft .NET Framework 1.1

kbmt kbinfo kbhowto KB899918 KbMtes

Traducci�n autom�tica

IMPORTANTE: Este art�culo ha sido traducido por un software de traducci�n autom�tica de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece art�culos traducidos por un traductor humano y art�culos traducidos autom�ticamente para que tenga acceso en su propio idioma a todos los art�culos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los art�culos traducidos autom�ticamente pueden contener errores en el vocabulario, la sintaxis o la gram�tica, como los que un extranjero podr�a cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisi�n, error o da�o ocasionado por una mala traducci�n del contenido o como consecuencia de su utilizaci�n por nuestros clientes. Microsoft suele actualizar el software de traducci�n frecuentemente.

Haga clic aqu� para ver el art�culo original (en ingl�s): 899918

(http://support.microsoft.com/kb/899918/en-us/ )