在这个项目中,登陆成功的话会纪录Session["opid"],以后,打开一个功能模块会根据这个Session["opid"]来判断权限
现在有这样一个问题。
我用userAAA登陆,然后新开一个浏览器,用userBBB登陆,这时回到用userAAA登陆的页面上,刷新一下的话,左边的功能列表是根据userBBB的权限读出来,修改信息的内容也变成了userBBB的信息
是不是只能记住最后登陆的Session 呢?还是我的程序有点问题?
期间Session肯定没有超时
现在有这样一个问题。
我用userAAA登陆,然后新开一个浏览器,用userBBB登陆,这时回到用userAAA登陆的页面上,刷新一下的话,左边的功能列表是根据userBBB的权限读出来,修改信息的内容也变成了userBBB的信息
是不是只能记住最后登陆的Session 呢?还是我的程序有点问题?
期间Session肯定没有超时
服务器是sessionID来判断的.
那要是我不想要这样的效果是不是不能用Session呢?
不知楼主要实现啥效果?
该属性返回当前会话的唯一标志,为每一个Session分配不同的编号。
我曾在开发过程中就遇到对用户的控制问题。它要实现的功能就是,针对某个网站的一个模块,当一个会员登录后正在看此模块时,另一个人用同样的会员名登录,就不能浏览这个模块。也就是说一个会员名同时只能一个人浏览此模块。我通过用会员名(假设为UserID,唯一)和SessionID来实现了控制。当会员登录时,给这个会员一个Session记录登录状态如:Session("Status")="Logged",同时把这个会员的Session.SessionID写入数据库。当他要浏览此模块时,先判断其是否登录,若已经登录再判断它的SessionID是否与数据库记录的相同,如果不同则不能访问。这样,当另一个用户用相同的会员名登录时,那么数据库中记录的就是新的SessionID,前者访问此模块时就不能通过检查。这就实现了一个会员名同时只能一个人浏览某个模块。这个功能在一些收费网站有很有特别作用,它防止了一个会员名给多个人浏览的问题,为公司保障了利益。
为这个用户创建的Cookie的名称是ASPSESSIONID。这个Cookie的唯一目的就是为每一个用户提供不同的身份认证。
注:如果你对名字是ASPSESSIONID的COOKIE感到好奇,你可以利用ServerVariables集合的COOKIE Header来接受这个信息,参看下面这个脚本:
<%=Request.ServerVariables(“HTTP COOKIE”) %>
你可以刷新不止一次而显示结果依然不变。如果希望对ServerVariables集合有更多了解,那么请去看第14章。
Session变量自己不会存在用户浏览器上。不过,ASPSESSIONID这个cookie需要使用session变量。server使用ASPSESSIONID cookie来将特定的用户和特定的session信息联系起来。没有cookie的话,Server就不会了解到每一个特定用户在网站中移动的信息。
利用SessionID变量存储ASPSESSIONID cookie和直接对名为ASPSESSIONID的cookie赋值有很大不同。微软利用了一个复杂的数学算法对SessionID进行了加密措施,以防止黑客猜测出SessionID的值并且依据这个获得不该获得的身份或权限。
注:你可以用两种方法屏蔽掉SessionID,一种是将全站进行屏蔽,另外一种是将一个单独Active Server Page进行相应屏蔽。
如果想要将整个站点的Session操作进行屏蔽,你可以使用Internet Service Manager。从Application设置对话框,点击Active Server Pages表并且取消对Enable Session State选项的选择。
你还可以在特定的Active Server Page的首行加入使之屏蔽的语句来进行这种操作。
<% EnableSessionState=False %>
由于Session对象使用了Cookies,那么它的兼容性就受到了限制,一些老的浏览器显然是不行的,新的浏览器象是NetScape4.0也提供了屏蔽Cookie的选项。
这样就出了问题、由于Cookie不能适用于所有浏览器,那么在建站时你就必须注意了,如果你的网站定位于大众通用,就必须考虑各种不同的用户情况。不过现在确实有可以替代的方法,有些取代Cookies来进行身份认证的方法将在后面的章节中进行讨论。
注:当前浏览器,是否发送一个Cookie在URL是区分大小写的,因此,微软提醒你最好使用同样的大小写方式,例如一起使用/WWW/mypage.asp和/www/mypage.asp肯定会使浏览器出错。