asp.net保持用户状态的九种选择(上)
摘要:asp.net为保持用户请求之间的数据提供了多种不同的途径。你可以使用application对象、cookie、hidden fields、sessions或cache对象,以及它们的大量的方法。决定什么时候使用它们有时很困难。本文将介绍了上述的技术,给出了什么时候使用它们的一些指导。尽管这些技术中有些在传统asp中已经存在,但是有了.net框架组件后该在什么时候使用它们发生了变化。为了在asp.net中保持数据,你需要调整从先前的asp中处理状态中学习到的知识。
随着web时代的到来,在无状态的http世界中管理状态成为web开发者的一个大问题。最近出现了几种存储和检索数据的不同技术。本文我将解释asp.net开发者能怎样通过页面请求维护或传递状态。
在asp.net中,有几种保持用户请求间数据的途径–实际上太多了,使没有经验的开发者对在哪个特定的环境下使用哪个对象很困惑。为了回答这个问题,需要考虑下面三个条件:
.谁需要数据?
.数据需要保持多长时间?
.数据集有多大?
通过回答这些问题,你能决定哪个对象为保持asp.net应用程序请求间数据提供了最佳的解决方案。图1列出了不同的状态管理对象并描述了什么时候使用它们。asp.net中添加了四个新的对象:cache、context、viewstate和web.config文件。asp.net也支持传统的asp对象,包括application、 cookie、有隐藏字段的 form post 、 querystring和sessions。注意这五个数据容器的正确使用方法发生了改变,因此有经验的程序员在考虑这些熟悉的对象时也许需要学习一些知识。
保持方法 谁需要数据 保持多长时间 数据量大小
application 所有用户 整个应用程序生命期 任意大小
cookie 一个用户 可以很短,如果用户不删除也可以很长 小的、简单数据
form post 一个用户 到下一次请求(可以跨越多个请求重复使用) 任意大小
querystring 一个或一组用户 到下一次请求(可以跨越多个请求重复使用) 小的、简单数据
sessions 一个用户 用户活动时一直保持+一段时间(一般20分钟) 可以是任何大小,但是因为用户有单独的sessions 存储,所有它应该最小。
cache 所有用户或某些用户 根据需要 可大可小、可简单可复杂
context 一个用户 一个请求 可以保持大对象,但是一般不这样使用
viewstate 一个用户 一个web窗体 最小
config file 所有用户 知道配置文件被更新 可以保持大量数据,通常组织小的字符串和xml结构
表1. asp.net中的数据容器对象
application
让我们通过回答上面的状态问题判定条件来说明该对象。谁需要数据?所有的用户需要访问它。需要保持数据多长时间?永久保持,或在应用程序生存期中保持。数据多大?可以是任何大小–在任何给定的时刻只有数据的一个副本存在。
在传统asp中,application对象提供了一个保存频繁使用但很少改变的数据片的位置,例如菜单内容和参考数据。尽管在asp.net 中application依然作为数据容器存在,但是有其它一些更适合以前保存在传统asp应用程序的application集合中的数据的对象。
在传统的asp中,如果被保存的数据在应用程序的生存期中根本不会改变(或很少改变,例如只读数据和大多数情况下是读操作的数据),application对象是理想的选择。连接字符串就是保存在application变量中的一个最普通的数据片,但是在asp.net中类似的配置数据最好保存在web.config文件中。如果使用application对象一个需要考虑的问题是任何写操作要么在application_onstart事件(global.asax)中,要么在application.lock部分中完成。尽管使用application.lock来确保写操作正确地执行是必要的,但是它串行化了对application对象的请求,而这对于应用程序来说是个严重的性能瓶颈。图2演示了怎样使用application对象,它包括一个web窗体和它的代码文件。
application.aspx
<form id="application" method="post" runat="server">
<asp:validationsummary id="valsummary" runat="server">
</asp:validationsummary>
<table>
<tr>
<td colspan="3">set application variable:</td>
</tr>
<tr>
<td>name</td>
<td><asp:textbox id="txtname" runat="server"></asp:textbox>
</td>
<td><asp:requiredfieldvalidator id="namerequired"
runat="server" display="dynamic" errormessage="name is
required." controltovalidate="txtname">*
</asp:requiredfieldvalidator></td>
</tr>
<tr>
<td>value</td>
<td><asp:textbox id="txtvalue" runat="server">
</asp:textbox></td>
<td><asp:requiredfieldvalidator id="valuerequired"
runat="server" display="dynamic" errormessage="value is
required." controltovalidate="txtvalue">*
</asp:requiredfieldvalidator></td>
</tr>
<tr>
<td colspan="3"><asp:button id="btnsubmit" runat="server"
text="update value"></asp:button></td>
</tr>
</table>
<asp:label id="lblresult" runat="server" />
</form>
application.aspx.cs
private void btnsubmit_click(object sender, system.eventargs e)
{
if(isvalid)
{
application.lock();
application[txtname.text] = txtvalue.text;
application.unlock();
lblresult.text = "the value of <b>" + txtname.text +
"</b> in the application object is <b>" +
application[txtname.text].tostring() + "</b>";
}
}
代码段1.在asp.net中访问application对象
它的输出如下图所示:
图1. application对象的内容
注意图3中application对象的内容是追踪输出的显示。追踪是个伟大的调试工具,但是在某个点,被打开的有追踪的页面可能出现在产品环境中。如果出现这种情况,你肯定不希望显示敏感的信息。这就是为什么application对象从来不是推荐的存放敏感信息(例如连接字符串)的位置的主要原因之一。
cookies
当特定的用户需要特定的数据片,并且需要把数据在某个可变的时段中保持的时候,cookie就非常方便。它的生命周期可能与浏览器窗体的一样短,也可以长达数月、数年。cookie可以小到只有几个字节的数据,因为它们在每个浏览器请求中传递,它们的内容需要尽可能的小。
cookie提供了一条灵活的、强大的维护用户请求间数据的途径,这就是为什么internet上大多数动态站点使用它们的原因。因为cookie可以存储的数据量很受限制,最好只在cookie中保存键字段,其它的数据保存在数据库或其它的服务器端数据容器中。但是由于不是所有的浏览器都支持cookie,并且它可以被用户禁止或删除,因此它们也不能用于保存关键数据。你应该很好地处理用户的cookie被删除的情况。最后,cookie作为简单的明文文本保存在用户的计算机中,因此在它里面不能保存敏感的、未加密的数据。
图2.单值和多值cookie
有种特殊的cookie可以保存单个值或名称/值对的集合。图4显示了单个和多个值cookie的示例,通过asp.net的内建追踪特性输出。这些值可以在asp.net页面中使用request.cookies和response.cookies集合来维护,这在代码段2中演示。
cookies.aspx.cs
//使用httpcookie类是指cookie的值和/或子值
httpcookie cookie;
if(request.cookies[txtname.text] == null)
cookie = new httpcookie(txtname.text, txtvalue.text);
else
cookie = request.cookies[txtname.text];
if(txtsubvaluename.text.length > 0)
cookie.values.add(txtsubvaluename.text, txtsubvaluevalue.text);
cookie.expires = system.datetime.now.adddays(1); // tomorrow
response.appendcookie(cookie);
//检索cookie的值
if(!request.cookies[txtname.text].haskeys)
lblresult.text = "the value of the <b>" + txtname.text + "</b>
cookie is <b>" + request.cookies[txtname.text].value.tostring() +
"</b>";
else
{
lblresult.text = "the value of the <b>" + txtname.text + "</b>
cookie is <b>" + request.cookies[txtname.text].value.tostring() +
"</b>, with subvalues:<br>";
foreach(string key in request.cookies[txtname.text].values.keys)
{
lblresult.text += "[" + key + " = " +
request.cookies[txtname.text].values[key].tostring() + "]<br>";
}
}
删除cookie
// 把的值设置为空并把终止时间设置为过去某个时刻
response.cookies[txtname.text].value = null;
response.cookies[txtname.text].expires =
system.datetime.now.addmonths(-1); //上个月
代码段2.accessing 在asp.net中访问cookies
form post / 隐藏的窗体字段
特定的用户需要窗体的数据,并且它需要在单个请求到应用程序终止的任何阶段都保持。这些数据事实上可以是任意大小的,它随着每个form post在网络上向前和向后发送。
在传统的asp中,这是在应用程序中暴露状态的通常的途径,特别是在多页面窗体应用程序中。但是在asp.net中这种技术不太适合了,因为只要你使用postback模型(也就是页面发回给自己),web控件和viewstate自动处理了这些操作。viewstate是asp.net对这种技术的实现,我将在本文的后部分讨论它。访问通过post发送的窗体值是使用httprequest对象的窗体集合完成的。在图6中,一个asp.net页面设置了某个用户的id,在这以后它保持在一个隐藏的窗体字段中。后面的向任何页面的请求保留这个值,直到页面使用submit按钮链接到其它的用户。
form1.aspx
<h1>form 1</h1>
<form id="application" method="post" runat="server">
<p>your username:
<asp:label id="lblusername" runat="server" />
</p>
<asp:panel runat="server" id="pnlsetvalue">
<asp:validationsummary id="valsummary" runat="server">
</asp:validationsummary>
<table>
<tr>
<td colspan="3">set hidden form username variable:</td></tr>
<tr>
<td>username</td>
<td>
<asp:textbox id="txtname" runat="server"></asp:textbox></td>
<td>
<asp:requiredfieldvalidator id="namerequired" runat="server"
controltovalidate="txtname" errormessage="name is required."
display="dynamic">*</asp:requiredfieldvalidator></td></tr>
<tr>
<td colspan="3">
<asp:button id="btnsubmit" runat="server" text="set value">
</asp:button></td></tr></table>
</asp:panel>
<asp:label id="lblresult" runat="server" />
</form>
<form action="form2.aspx" method="post" name="form2" id="form2">
<input type="hidden" name="username" value="<%# username %>" >
<input type="submit" value="go to form2.aspx"
</form>
form1.aspx.cs
private void page_load(object sender, system.eventargs e)
{
if(!ispostback) // 新的请求或者来自form2.aspx的请求
{
// 检查窗体集合
if(request.form["username"] == null)
pnlsetvalue.visible = true;
else
{
//需要设置用户名值
pnlsetvalue.visible = false;
username = request.form["username"].tostring();
lblusername.text = username;
//数据绑定到隐藏的窗体字段值
this.databind();
}
}
}
private void btnsubmit_click(object sender, system.eventargs e)
{
if(isvalid)
{
//隐藏窗体来设置值
pnlsetvalue.visible = false;
username = txtname.text;
lblresult.text = "username set to " + txtname.text + ".";
lblusername.text = username;
this.databind();
}
}
form2.aspx
<h1>form 2</h1>
<form id="application" method="post" runat="server">
<p>your username: <asp:label id="lblusername" runat="server" /></p>
</form>
<form action="form1.aspx" method="post" id="form2" name="form2">
<input type="hidden" name="username" value="<%# username %>" >
<input type="submit" value="go to form1.aspx"
</form>
form2.aspx.cs
private void page_load(object sender, system.eventargs e)
{
if(request.form["username"] != null)
{
username = request.form["username"].tostring();
lblusername.text = username;
this.databind();
}
}
代码段3.在asp.net中使用隐藏窗体字段
在asp.net中一个页面上只能存在一个服务器端窗体,并且该窗体必须提交返回到自身(仍然可以使用客户端窗体,没有限制)。隐藏窗体字段再也没有用于在.net框架组件上建立的应用程序间传递数据的主要原因之一是.net框架组件控件都可以使用viewstate自动维护自己的状态。viewstate简单地把使用隐藏窗体字段设置和检索值所包含的工作封装进一个使用简单的集合对象中。
querystring
querystring对象中保存的数据由单独的用户使用。它的生命周期可能只有一个请求那么短,也可能有用户使用应用程序的时间那么长(如果构造正确的话)。这类数据一般小于1kb。querystring中的数据在url中传递,对于用户来说是可见的,因此你能猜到,使用这种技术时,敏感的数据或可用于控制应用程序的数据需要加密。
也就是说,querystring是在asp.net web窗体间发送信息的一条很好的途径。例如,如果有一个含有产品列表的数据表格(datagrid),并且在表格上有一个链接导向产品的细节页面,使用querystring就是理想的,可以把产品的id包含在链接到产品细节页面的querystring中(例如productdetails.aspx?id=4)。使用querystrings的另一个好处是页面的状态包含在url中。这意味着用户可以把某个通过querystrings建立的窗体放入他的收藏夹中。当它们作为收藏返回到页面时,将与作收藏的时候一样。很明显这只在页面不依赖querystring外的所有状态和不作任何改变的时候有作用。
敏感数据,以及任何不希望用户操作的变量应该避免出现在此处(除非加密使用户不能阅读)。并且url中不合法的字符必须使用server.urlencode编码,如图7所示。当处理单个asp.net页面时,对维护状态来说viewstate是比querystring好的选择。对于长期的数据存储,cookie、sessions或cache都比querystrings更加适于作为数据容器。
querystring.aspx
<form id="querystring" method="post" runat="server">
<asp:validationsummary id="valsummary" runat="server">
</asp:validationsummary>
<table>
<tr>
<td colspan="3">set querystring variable:</td>
</tr>
<tr>
<td>name</td>
<td><asp:textbox id="txtname" runat="server"></asp:textbox>
</td>
<td><asp:requiredfieldvalidator id="namerequired"
runat="server" display="dynamic" errormessage="name is
required." controltovalidate="txtname">*
</asp:requiredfieldvalidator></td>
</tr>
<tr>
<td>value</td>
<td><asp:textbox id="txtvalue" runat="server">
</asp:textbox></td>
<td><asp:requiredfieldvalidator id="valuerequired"
runat="server" display="dynamic" errormessage="value is
required." controltovalidate="txtvalue">*
</asp:requiredfieldvalidator></td>
</tr>
<tr>
<td colspan="3"><asp:button id="btnsubmit" runat="server"
text="update value"></asp:button></td>
</tr>
</table>
<asp:label id="lblresult" runat="server" />
<a href="querystring.aspx?x=1">set querystring x equal to 1</a>
</form>
querystring.aspx.cs
private void page_load(object sender, system.eventargs e)
{
// 检索cookie的值
if(request.querystring.haskeys())
{
lblresult.text = "the values of the <b>" + txtname.text +
"</b> querystring parameter are:<br>";
foreach(string key in request.querystring.keys)
{
lblresult.text += "[" + key + " = " +
request.querystring[key].tostring() + "]<br>";
}
}
}
private void btnsubmit_click(object sender, system.eventargs e)
{
if(isvalid)
{
string url = "querystring.aspx?";
foreach(string key in request.querystring.keys)
{
url += key + "=" + request.querystring[key].tostring() + "&";
}
response.redirect(url + txtname.text + "=" +
server.urlencode(txtvalue.text));
}
}
代码段4.在asp.net中使用querystrings传递数据
sessions
sessions数据对于特定的用户是特定的。它的生存期是用户持续请求的时间加上后来一段时间(一般是20分钟)。sessions可以保持或大或小的数据量,但是如果应用程序用于成百上千的用户,那么总共的存储应该保持最小。
不幸的是在传统的asp中sessions对象的名声很不好,因为它把应用程序约束到特定的计算机上,阻碍了用户分组和web范围的可伸缩性。在asp.net中几乎没有这些问题,因为改变sessions保存的位置很简单。在默认情况下(性能最好的情况),sessions数据仍然保存在本地web服务器的内存中,但是asp.net支持使用外部状态服务器或数据库管理sessions数据。
使用sessions对象很简单,并且它的语法与传统asp相同。但是sessions对象是保存用户数据的方法中效率很低的一种,因为即使用户停止使用应用程序后它仍然保持在内存中一段时间。这对于非常繁忙的站点的可伸缩性有严重的影响。其它的选择允许对释放内存的更多的控制,例如cache对象也许更适合大量的大数据值。并且在默认情况下asp.net sessionss依赖于cookie,因此如果用户禁止或不支持cookie,sessionss就不能工作,但是可以配置sessionss支持cookie无关。对于小的数据量,sessionss对象是保存只需要在用户当前对话中保持的特定数据的极好位置。下面的例子演示了怎样设置和从sessionss对象中检索值:
private void btnsubmit_click(object sender, system.eventargs e)
{
if(isvalid)
{
// 设置sessions值
sessions[txtname.text] = txtvalue.text;
//读取和显示刚才的设置
lblresult.text = "the value of <b>" + txtname.text + "</b> in the sessions object is <b>" + sessions[txtname.text].tostring() + "</b>";
}
}
该web窗体与application对象中使用的几乎相同,当允许页面追踪时sessions集合的内容也是可见的。
你需要记住的是即使没有使用,sessionss也会有应用程序开销。把sessionss状态设置为只读的也可以优化只需要读而不需要写数据的页面。可以使用下面两种途径之一来配置sessionss:
<%@ page enablesessionsstate="false" %>
<%@ page enablesessionsstate="readonly" %>
asp.net sessionss可以在web.config或machine.config中的sessionsstate元素中配置。下面是在 web.config中的设置的例子:
<sessionsstate timeout="10" cookieless="false" mode="inproc" />