【C#.NET】ASP.NET状态管理之一:Cookie
状态管理是你对同一页或不同页的多个请求维护状态和页信息的过程。与所有基于 HTTP 的技术一样,Web 窗体页是无状态的,这意味着它们不自动指示序列中的请求是否全部来自相同的客户端,或者单个浏览器实例是否一直在查看页或站点。此外,到服务器的每一往返过程都将销毁并重新创建页;因此,如果超出了单个页的生命周期,页信息将不存在。比如,我们在代码中声明一个DataSet从数据库获取记录,页面回发(也就是重新请求)后这个DataSet是空的,这就是为什么在ASP.NET应用程序中,甚至在一个页面中需要多次连接数据库获取记录。正是由于这个原因,状态管理对于Web编程来说非常重要,从第一代动态Web编程语言开始就支持多种状态管理以弥补HTTP无状态的不足。
现在的Web应用程序,通常都是数据驱动的,但是在状态处理中,我们应该尽量减少对数据库的依赖,原因如下。
· 数据库是存放在磁盘上的。如果把数据存放在数据库中的话,性能会比较差。
· 很多数据是和用户相关的。如果把数据存放在数据库中的话,我们没有一个唯一的标志来区分哪条记录对应哪个客户端(浏览器)。
· 很多数据是临时的,用户关闭了浏览器这些数据就不再需要了。如果把数据存放在数据库中的话,我们不知道是哪个用户关闭了浏览器,也就不能及时把数据删除。
通常来讲,状态管理的作用主要概括为以下几点。
· 指示用户信息,关联浏览器实例。
· 使得页与页之间,请求与请求之间能够共享信息。
· 更为快速的数据存储与读取。
一、Cookie概述
Cookie 为 Web 应用程序保存用户相关信息提供了一种有用的方法。例如,当用户访问站点时,可以利用 Cookie 保存用户首选项或其他信息,这样,当用户下次再访问站点时,应用程序就可以检索以前保存的信息。
从技术上讲,Cookie是小段保存在客户端的数据(如果你安装的是XP,可以看一下<安装Windows的盘>:"Documents and Settings"<用户名>"Cookies文件夹)。用户访问网站的时候,网站会给用户一个包含过期时间的Cookie,浏览器收到Cookie后就存放在客户端的文件夹下。以后用户每次访问网站页面的时候,浏览器会根据网站的URL在本地Cookie文件夹内查找是否存在当前网站关联的Cookie,如果有的话就连同页面请求一起发送到服务器。
关于Cookie的知识还需要了解以下几点。
· Cookie只是一段字符串,并不能执行。
· 大多数浏览器规定Cookie大小不超过4K,每个站点能保存的Cookie不超过20个,所有站点保存的Cookie总和不超过300个。
· 除了Cookie外,几乎没有其他的方法在客户端的机器上写入数据(就连Cookie的写入操作也是浏览器进行的)。当然,连Cookie都可以通过浏览器安全配置来禁止。如果你使用IE浏览器,可以看一下“工具”→“Internet”选项→“隐私”一页。现在的大多数网站都利用Cookie来保存一些数据(比如你的ID),以便你下一次访问网站时能直接“继续”以前的配置,所以我还是建议你不要轻易关闭Cookie。
在使用Cookie时,必须意识到其固有的安全弱点。Cookie毕竟是存放于客户端的。因此,不要在Cookie中保存保密信息,如用户名、密码、信用卡号等。在Cookie中不要保存不应该由用户掌握的内容,也不要保存可能被其他窃取Cookie的人控制的内容。
二、 Cookie的使用
下面,我们就来讨论如何保存、读取、删除和修改Cookie。首先在页面上添加4个按钮用来完成这4个操作。
<asp:Button ID="btn_SaveCookie" runat="server" OnClick="btn_SaveCookie_Click"
Text="保存Cookie" />
<asp:Button ID="btn_ReadCookie" runat="server" Text="读取Cookie"
OnClick="btn_ReadCookie_Click" />
<asp:Button ID="btn_ModifyCookie" runat="server" OnClick="btn_ModifyCookie_Click"
Text="修改Cookie" />
<asp:Button ID="btn_DelCookie" runat="server" Text="删除Cookie"
OnClick="btn_DelCookie_Click" />
保存Cookie的方法如下。
protected void btn_SaveCookie_Click(object sender, EventArgs e)
{
HttpCookie SingleValueCookie = new HttpCookie("test1", "单值Cookie");
SingleValueCookie.Expires = DateTime.Now.AddDays(1);
Response.Cookies.Add(SingleValueCookie);
HttpCookie MultiValueCookie = new HttpCookie("test2");
MultiValueCookie.Values.Add("key1", "value1");
MultiValueCookie.Values.Add("key2", "value2");
MultiValueCookie.Expires = DateTime.Now.AddDays(1);
Response.Cookies.Add(MultiValueCookie);
}
我们可以看到,一个Cookie中允许保存单个值也可以保存多个值。HttpCookie类型表示一个Cookie,Expires属性用于修改Cookie的过期时间。对于单值Cookie,既可以直接在构造方法中指定值也可以使用Value属性指定值。对于多值Cookie,既可以使用Values属性的Add方法添加子键和值,也可以直接使用Values属性的索引设置子键和值。上面这段代码等价于下面这段代码。
protected void btn_SaveCookie_Click(object sender, EventArgs e)
{
HttpCookie SingleValueCookie = new HttpCookie("test1");
SingleValueCookie.Value = "单值Cookie";
SingleValueCookie.Expires = DateTime.Now.AddDays(1);
Response.Cookies.Add(SingleValueCookie);
HttpCookie MultiValueCookie = new HttpCookie("test2");
MultiValueCookie.Values["key1"] = "value1";
MultiValueCookie.Values["key2"] = "value2";
MultiValueCookie.Expires = DateTime.Now.AddDays(1);
Response.Cookies.Add(MultiValueCookie);
}
在添加完值以后,务必记得使用Response对象把Cookie重新返回给浏览器。我们的服务器不能直接在客户端机器上写Cookie,而是由浏览器完成这一工作,当然用户也可以设置是否允许浏览器读写Cookie。
下面是读取Cookie的操作。
protected void btn_ReadCookie_Click(object sender, EventArgs e)
{
HttpCookie SingleValueCookie = Request.Cookies["test1"];
if (SingleValueCookie != null)
{
Response.Write(string.Format("Key:{0} Value:{1} Expires:{2}<br/>", "test1",
SingleValueCookie.Value, SingleValueCookie.Expires));
}
HttpCookie MultiValueCookie = Request.Cookies["test2"];
if (MultiValueCookie!= null)
{
Response.Write(string.Format("Key:{0} Value:{1}<br/>", "test2", MultiValueCookie.
Value));
foreach (string subkey in MultiValueCookie.Values.AllKeys)
{
Response.Write(string.Format("SubKey:{0} Value:{1} Expires:{2}<br/>",
subkey, MultiValueCookie.Values[subkey], MultiValueCookie.Expires));
}
}
}
对于多值Cookie,我们通过遍历AllKeys属性返回的字符串数组获取所有子键Key,从而获得子键的值。要注意的是,在访问Cookie以前,需要检测一下Cookie是否存在。打开页面,先单击“保存Cookie”按钮,然后单击“读取Cookie”按钮,得到以下输出:
Key:test1 Value:单值Cookie Expires:0001-1-1 0:00:00
Key:test2 Value:key1=value1&key2=value2
SubKey:key1 Value:value1 Expires:0001-1-1 0:00:00
SubKey:key2 Value:value2 Expires:0001-1-1 0:00:00
这里要说明以下几点。
· 我们发现,所有Cookie的过期时间都不能正常显示。这是因为浏览器返回给服务器的Cookie是不包含过期时间的,而服务器返回给浏览器的Cookie是包含过期时间的。过期时间只对客户端浏览器有意义,对服务器来说没有什么意义。
· 直接读取多值Cookie的Value,它会把所有子键和子键值都使用key=value方法显示,多个子键使用“&”连接(类似URL的方式)。
下面是删除Cookie的操作。
protected void btn_DelCookie_Click(object sender, EventArgs e)
{
HttpCookie SingleValueCookie = Request.Cookies["test1"];
SingleValueCookie.Expires = DateTime.MinValue;
Response.Cookies.Add(SingleValueCookie);
}
如果你想删除所有Cookie,可以遍历删除。
protected void btn_DelCookie_Click(object sender, EventArgs e)
{
foreach (string key in Request.Cookies.AllKeys)
{
HttpCookie cookie = Request.Cookies[key];
cookie.Expires = DateTime.MinValue;
Response.Cookies.Add(cookie);
}
}
我们始终要记住,服务器不能直接删除Cookie,删除Cookie的操作是浏览器进行的。说是删除,其实是把它的过期时间设置为过去的时间,让Cookie过期。因此,对于删除操作来说有三个步骤。
1.从Request对象中获取Cookie。
2.把Cookie的过期时间设置为过去的时间。
3.把Cookie重新写回Response中。
4.修改Cookie的操作也非常简单。
protected void btn_ModifyCookie_Click(object sender, EventArgs e)
{
HttpCookie SingleValueCookie = Request.Cookies["test1"];
SingleValueCookie.Value = "修改后的单值Cookie";
Response.Cookies.Add(SingleValueCookie);
}
三、 Cookie总结
Cookie虽然是一个简单实用的对象,但是我们也要注意Cookie的工作原理、大小限制以及安全性等,大致可以归纳为以下几点。
· 存储的物理位置。客户端的Cookies文件夹内。
· 存储的类型限制。字符串。
· 状态使用的范围。当前请求上下文的上下文都能访问到Cookie,Cookie对每个用户来说都是独立的。
· 存储的大小限制。每个Cookie不超过4K数据。每个网站不超过20个Cookie。所有网站的Cookie总和不超过300个。
· 生命周期。每个Cookie都有自己的过期时间,超过了过期时间后失效。
· 安全与性能。存储在客户端,安全性差。对于敏感数据建议加密后存储。
· 优点缺点与注意事项。可以很方便地关联网站和用户,长久保存用户设置。