由于域名转向的原因,session和cookie的值都会丢失,所以等用户登录以后,想要证明该用户是否已经登录,就变得很麻烦了。
我现在能想到的做法是:一旦登录,就将 Application( "user_客户端IP ") = "true ";注销,Application( "user_客户端IP ") = " ".只要Application( "user_客户端IP ") = "true "就是登录状态。
带来的问题:
1.客户端IP不能保证唯一,会出现几个帐户用同一个ip的情况。
2.反复进行Application( "user_客户端IP ")操作,会占用很多内存。由于登录用户不多,这个问题可不用考虑。
您有没其他更好的方法,请留言。谢谢!!
------解决方案--------------------
asp的正常情况下,会执行以下步骤:
1、服务器接受连接请求,检查包头,没有AspSessionID这一项,则在自己的系统表里生成一个ID,SessionID,TimeOut项。
其中SessionID是随机唯一的字串,通过Response包头发回客户端,储存在内存Cookie中,客户每次Request都会自动加上这个包头。你可以通过抓包软件看到,形如ASPSESSIONID=xxxxxxx。
2、对于包头有AspSessionID的,在系统表里查找对应项,找不到是非法连接,找到则更新Timeout,此连接可访问所有对应ID的Session集合。
3、系统自动检查系统表,剔除TimeOut过期的项。
4、任何开启session页面都会自动执行上面的步骤。这个过程对于客户端和服务器是透明的,由ASP系统完成。
在asp.net中,可以通过Url重写打到以上效果,例如本来通过包头的ASPSessionID,由于没有cookie,只好存在页面中,通过Http://xxx.com/(ASPSessionID=xxxxxx)/default.asp的形式发送请求。这也是透明的,双方看不到。
========
要想在Asp中打到连接效果,就必须完全手工编写以上步骤。由于不是在IIS的层面操作,必须重写相当于驱动一样的数据库/系统表管理,URL重写,并且必须加在所有页面中。
LZ所用的办法Application( "user_客户端IP ")不可取,因为ASP不提供可靠的IP,而且容易重复和被伪造。
(其实Asp和.net的办法也都不可靠。通过伪造包头和数据,可以实现IP的同Session登陆,这个问题大概要等改HTTP协议才行。)
总之:
楼主最好不要涉及这个方面,直接要求客户端保证cookie就好了。
------解决方案--------------------
实现要点:
1)客户访问的时候在其随机生成一串字符
2)把这串字符保存在数据库中
3)这段字符做成参数,在不同的页面之间传递
4)检查传递的参数和数据库中的内容是否一致。