当前位置: 代码迷 >> ASP >> 在session和cookie都不能用的情况下,用什么方法识别客户端是否登录?该如何处理
  详细解决方案

在session和cookie都不能用的情况下,用什么方法识别客户端是否登录?该如何处理

热度:96   发布时间:2012-03-07 09:13:51.0
在session和cookie都不能用的情况下,用什么方法识别客户端是否登录??

由于域名转向的原因,session和cookie的值都会丢失,所以等用户登录以后,想要证明该用户是否已经登录,就变得很麻烦了。

我现在能想到的做法是:一旦登录,就将   Application( "user_客户端IP ")   =   "true ";注销,Application( "user_客户端IP ")   =   " ".只要Application( "user_客户端IP ")   = "true "就是登录状态。

带来的问题:
1.客户端IP不能保证唯一,会出现几个帐户用同一个ip的情况。
2.反复进行Application( "user_客户端IP ")操作,会占用很多内存。由于登录用户不多,这个问题可不用考虑。

您有没其他更好的方法,请留言。谢谢!!


------解决方案--------------------
asp的正常情况下,会执行以下步骤:

1、服务器接受连接请求,检查包头,没有AspSessionID这一项,则在自己的系统表里生成一个ID,SessionID,TimeOut项。

其中SessionID是随机唯一的字串,通过Response包头发回客户端,储存在内存Cookie中,客户每次Request都会自动加上这个包头。你可以通过抓包软件看到,形如ASPSESSIONID=xxxxxxx。

2、对于包头有AspSessionID的,在系统表里查找对应项,找不到是非法连接,找到则更新Timeout,此连接可访问所有对应ID的Session集合。

3、系统自动检查系统表,剔除TimeOut过期的项。

4、任何开启session页面都会自动执行上面的步骤。这个过程对于客户端和服务器是透明的,由ASP系统完成。

在asp.net中,可以通过Url重写打到以上效果,例如本来通过包头的ASPSessionID,由于没有cookie,只好存在页面中,通过Http://xxx.com/(ASPSessionID=xxxxxx)/default.asp的形式发送请求。这也是透明的,双方看不到。

========

要想在Asp中打到连接效果,就必须完全手工编写以上步骤。由于不是在IIS的层面操作,必须重写相当于驱动一样的数据库/系统表管理,URL重写,并且必须加在所有页面中。

LZ所用的办法Application( "user_客户端IP ")不可取,因为ASP不提供可靠的IP,而且容易重复和被伪造。

(其实Asp和.net的办法也都不可靠。通过伪造包头和数据,可以实现IP的同Session登陆,这个问题大概要等改HTTP协议才行。)

总之:

楼主最好不要涉及这个方面,直接要求客户端保证cookie就好了。
------解决方案--------------------
实现要点:
1)客户访问的时候在其随机生成一串字符
2)把这串字符保存在数据库中
3)这段字符做成参数,在不同的页面之间传递
4)检查传递的参数和数据库中的内容是否一致。
  相关解决方案