Comment et pourquoi l'ID de session est r�utilis�s dans ASP.NET

Num�ro d'article: 899918 - Voir les produits auxquels s'applique cet article

ATTENTION : Cet article est issu du syst�me de traduction automatique

Cliquez ici si vous souhaitez afficher en c�te � c�te l?article anglais et sa traduction automatique en fran�ais

Agrandir tout | R�duire tout

INTRODUCTION

Cet article explique comment et pourquoi Microsoft ASP.NET session ID sont utilis�s.

L'�tat de session ASP.NET est une technologie qui vous permet de stocker des donn�es c�t� serveur, sp�cifiques � l'utilisateur. Applications Web peuvent utiliser ces donn�es pour traiter les demandes de l'utilisateur pour lequel l'�tat de session a �t� instanci�. Un utilisateur d'�tat de session est identifi� par un ID de session. L'ID de session est remis � l'aide de l'une des m�thodes suivantes :

L'ID de session vous appartient d'un cookie est envoy� au navigateur de l'utilisateur.
L'ID de session est incorpor� dans l'URL. Cette technique est �galement connu sous le nom d'une session de moins de cookies .

ID de session existe un nombre al�atoire 120 bits qui est repr�sent� par une cha�ne de 20 caract�res. La cha�ne est format�e afin qu'il peut �tre inclus dans une URL et qu'il ne soit pas n�cessaire pour subissent codage URL. Par exemple, la cha�ne peut �tre utilis�e dans les sessions moins de cookies. La m�thode plus couramment utilis�e de fournir des ID de session consiste � utiliser les cookies pour stocker le ID de session.

Lorsqu'un utilisateur ouvre pour leur navigateur Web la premi�re fois et puis menant � un site qui impl�mente l'�tat de session ASP.NET, un cookie est envoy� au navigateur avec le nom � ASP.NET_SessionId � et une valeur de 20 caract�res.

Lorsque l'utilisateur acc�de au sein du m�me domaine DNS, le navigateur Web continue � envoyer ce cookie au domaine pour lequel il a �t� origine.

Par exemple, app1.tailspintoys.com et app2.tailspintoys.com sont les applications ASP.NET. Si l'utilisateur acc�de � app1.tailspintoys.com et ouvre app2.tailspintoys.com, les deux applications devez utiliser le m�me cookie et le m�me ID de session pour suivre l'�tat de session de l'utilisateur au sein de chaque application. Les applications ne partagent pas le m�me �tat de session. Les applications partagent uniquement l'ID de session.

Par cons�quent, vous pouvez r�utiliser ID de session pour plusieurs raisons. Par exemple, si vous r�utiliser ID de session, vous ne devrez pas effectuer les op�rations suivantes :

Cr�er un nouvel ID de session unique au sens cryptographique lorsque vous sont pr�sent�s avec un ID de session valide.
Cr�er un ID de nouvelle session pour chaque application ASP.NET qui se trouve dans un domaine unique.

Lorsque l'application Web n�cessite une ouverture de session et offre une page ou l'option d�connexion, nous vous recommandons de que vous d�sactivez l'�tat de session lorsque l'utilisateur a d�connect� le site Web. Pour effacer l'�tat de session, appelez la m�thode Session.Abandon . La m�thode Session.Abandon permet de vous vider l'�tat de session sans attendre l'expiration d'�tat de session. Par d�faut, ce d�lai d'attente est une expiration glissante 20 minutes. Cette expiration est actualis�e chaque fois que l'utilisateur effectue une requ�te sur le site Web et pr�sente le cookie D'ID de session. La m�thode abandonner d�finit un indicateur de l'objet d'�tat de session qui indique que l'�tat de session doit �tre abandonn�e. L'indicateur est examin� et puis trait� � la fin de la requ�te de page. Par cons�quent, l'utilisateur peut utiliser des objets session dans la page une fois que vous appelez la m�thode abandonner . D�s que le traitement de la page est termin�, la session est supprim�e.

Lorsque vous utilisez le mode d'�tat de session in-process, ces objets �tat de session sont stock�s dans le HttpCache. Le HttpCache prend en charge une m�thode de rappel lorsque les conditions suivantes sont remplies :

Une entr�e de cache est supprim�e.
Le gestionnaire d'�tat de session enregistre le gestionnaire d'�v�nements Session_OnEnd � �tre appel�e lorsque l'entr�e de cache est supprim�e.

Lorsque le gestionnaire d'�tat de session supprime un objet �tat de session qui se trouve dans le cache, le Gestionnaire de HttpCache appellera les rappels enregistr�s. En effet, ce comportement provoque le gestionnaire d'�v�nements Session_OnEnd .

Lorsque vous risquent de quitter une session, le cookie D'ID de session n'est pas supprim� � partir du navigateur de l'utilisateur. Par cons�quent, d�s que la session a �t� abandonn�e, les nouvelles demandes de la m�me application va utiliser le m�me ID de session mais auront une instance d'�tat de nouvelle session. En m�me temps, si l'utilisateur ouvre une autre application dans le m�me DNS domaine, l'utilisateur ne perdez pas leur �tat de session apr�s que la m�thode abandonner est appel�e � partir d'une application.

Parfois, vous souhaiterez pas r�utiliser le code de session. Si vous effectuez et si vous comprenez les ramifications de ne pas r�utiliser l'ID de session, utiliser l'exemple de code suivant pour abandonner une session et d�sactivez le cookie D'ID de session:

Session.Abandon();
Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));

cet exemple de code efface l'�tat de session � partir du serveur et le cookie d'�tat de session null. La valeur null supprime efficacement le cookie � partir du navigateur.

Lorsqu'un utilisateur ne connectez pas hors de l'application et l'expiration d'�tat de session se produit, l'application peut toujours utiliser le cookie d'�tat de session m�me si le navigateur n'est pas ferm�. Ce comportement provoque l'utilisateur d'�tre dirig� vers la page d'ouverture de session et le cookie d'�tat de session de l'utilisateur � �tre affich�es. Pour garantir qu'un ID de nouvelle session est utilis� lorsque vous ouvrez la page d'ouverture de session (login.aspx), envoyer un cookie null au client. Pour ce faire, ajouter un cookie � la collection de r�ponse. Ensuite, renvoyer la collection de r�ponse au client. M�thode la la plus simple d'envoyer un cookie null consiste � l'aide de la m�thode Response.Redirect . Car la collection de cookies toujours a une valeur pour le ASP.NET_SessionId, vous ne pouvez pas simplement tester si ce cookie existe parce que vous allez cr�er une boucle Response.Redirect . Vous pouvez d�finir une cha�ne de requ�te sur la redirection vers la page d'ouverture de session.

Ou, comme illustr� dans l'exemple de code suivant, vous pouvez utiliser un autre cookie pour indiquer si vous �tes d�j� redirig� vers la page d'ouverture de session. Pour aider � am�liorer la s�curit� et vous assurer que personne n'essaie d'ouvrir la page d'ouverture de session en utilisant un cookie second avec le cookie d'ASP.NET, l'exemple de code suivant utilise la classe FormsAuthentication pour chiffrer et d�chiffrer les donn�es du cookie. Ensuite, l'exemple de code d�finit un d�lai de 5 secondes.

private void Page_Load(object sender, System.EventArgs e)
{ 
if( !IsPostBack && 
( Request.Cookies["__LOGINCOOKIE__"] == null ||
Request.Cookies["__LOGINCOOKIE__"].Value == "" ) )
{
//At this point, we do not know if the session ID that we have is a new
//session ID or if the session ID was passed by the client. 
//Update the session ID.

Session.Abandon();
Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));

//To make sure that the client clears the session ID cookie, respond to the client to tell 
//it that we have responded. To do this, set another cookie.
AddRedirCookie();
Response.Redirect( Request.Path );
}

//Make sure that someone is not trying to spoof.
try
{
FormsAuthenticationTicket ticket =
FormsAuthentication.Decrypt( Request.Cookies["__LOGINCOOKIE__"].Value );

if( ticket == null || ticket.Expired == true ) 
throw new Exception();

RemoveRedirCookie();
}
catch
{
//If someone is trying to spoof, do it again.
AddRedirCookie();
Response.Redirect( Request.Path );
}


Response.Write("Session.SessionID="+Session.SessionID+"<br/>");
Response.Write("Cookie ASP.NET_SessionId="+Request.Cookies["ASP.NET_SessionId"].Value+"<br/>");
} 

private void RemoveRedirCookie() 
{ 
Response.Cookies.Add(new HttpCookie("__LOGINCOOKIE__", "")); 
} 

private void AddRedirCookie()
{

FormsAuthenticationTicket ticket = 
new FormsAuthenticationTicket(1,"Test",DateTime.Now,DateTime.Now.AddSeconds(5), false,""); 
string encryptedText = FormsAuthentication.Encrypt( ticket ); 
Response.Cookies.Add( new HttpCookie( "__LOGINCOOKIE__", encryptedText ) );
}

Propri�t�s

Num�ro d'article: 899918 - Derni�re mise � jour: vendredi 8 septembre 2006 - Version: 1.3

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):

Microsoft .NET Framework 1.1

kbmt kbinfo kbhowto KB899918 KbMtfr

Traduction automatique

IMPORTANT : Cet article est issu du syst�me de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis � votre disposition en compl�ment des articles traduits en langue fran�aise par des traducteurs professionnels. Cela vous permet d?avoir acc�s, dans votre propre langue, � l?ensemble des articles de la base de connaissances r�dig�s originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne �trang�re s?exprimant dans votre langue !). N�anmoins, mis � part ces imperfections, ces articles devraient suffire � vous orienter et � vous aider � r�soudre votre probl�me. Microsoft s?efforce aussi continuellement de faire �voluer son syst�me de traduction automatique.

La version anglaise de cet article est la suivante: 899918

(http://support.microsoft.com/kb/899918/en-us/ )

L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.