コードによるsessionidのリセット

ASP.NETセッションステータスは、サーバ側でユーザー固有のデータを格納できるテクノロジーです。Webアプリケーションは、これらのデータを使用して、セッション状態をインスタンス化するユーザからの要求を処理することができる。セッションステータスユーザは、セッションIDによって識別される。以下のいずれかの方法でセッションIDを転送します。

セッションIDは、20文字の文字列で表される120ビットの乱数である。文字列のフォーマットは、URLに含めることができ、URL符号化を必要としないように設定されている。たとえば、Cookieなしセッションで文字列を使用できます。セッションIDを転送する最も一般的な方法は、Cookieを使用してセッションIDを格納することである。ユーザが初めてWebブラウザを開き、あるインプリメンテーションASPに移動する.NETセッションステータスのWebサイトでは、「ASP.NET_SessionId」という20文字の値を含むCookieがブラウザに送信されます。ユーザが同じDNSドメインをブラウズすると、WebブラウザはソースであるドメインにこのCookieを送信し続ける。例えば、app 1.tailspintoys.comとapp 2.tailspintoys.comはすべてASP.NETアプリ。ユーザが相次いでapp 1に移行すると.tailspintoys.comとapp 2.tailspintoys.comでは、2つのアプリケーションが同じCookieと同じセッションIDを使用して、各アプリケーション内のユーザのセッション状態を追跡します。アプリケーション間で同じセッションステータスは共有されません。アプリケーション間ではセッションIDのみが共有されます。したがって、セッションIDは様々な理由で再利用することができる。たとえば、セッションIDを再利用する場合は、次の操作を実行する必要はありません。

Webアプリケーションがログインを要求し、ログアウトページまたはオプションを指定する場合は、ユーザーがWebサイトをログアウトした後にセッションステータスをクリアすることをお勧めします。セッションステータスをクリアするには、Session.Abandonメソッドを呼び出します。セッション・ステータスがタイムアウトするまで待たずにセッション・ステータスをリフレッシュするには、Session.Abandonメソッドを使用します。デフォルトでは、タイムアウト時間は20分の調整可能な期限切れです。この有効期限は、ユーザーがWebサイトに要求し、セッションID Cookieを提供するたびに更新されます。Abandonメソッドは、セッションのステータスを破棄すべきであることを示すセッションステータスオブジェクトにフラグを設定します。ページリクエストの最後にフラグがチェックされ、処理されます。したがって、Abandonメソッドを呼び出すと、ユーザーはページでセッションオブジェクトを使用できます。ページ処理が完了すると、セッションは削除されます。プロセス内のセッション状態モードを使用すると、これらのセッション状態オブジェクトはHttpCacheに格納されます。HttpCacheは、次の条件を満たす場合にコールバックメソッドをサポートします。

HttpCacheマネージャは、キャッシュに存在するセッションステータスオブジェクトを削除すると、登録されているすべてのコールバックを呼び出します。実際には、この動作によって[Session_OnEnd]イベントハンドラが起動します。セッションを破棄すると、ユーザーのブラウザからセッションID Cookieは削除されません。したがって、セッションを破棄すると、同じアプリケーションに対する新しい要求はすべて同じセッションIDを使用しますが、新しいセッションステータスインスタンスがあります。同時に、同じDNSドメイン内で別のアプリケーションを開くと、あるアプリケーションからAbandonメソッドを呼び出すと、ユーザーはセッションステータスを失うことはありません。セッションIDを再利用したくない場合があります。セッションIDを再利用しない場合は、次のコード例を使用してセッションを破棄し、セッションID Cookieをクリアします。

Session.Abandon(); Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));

private void Page_Load(object sender, System.EventArgs e)

{

if( !IsPostBack &&

( Request.Cookies["__LOGINCOOKIE__"] == null ||

Request.Cookies["__LOGINCOOKIE__"].Value == "" ) )

{

//At this point, we do not know if the session ID that we have is a new

//session ID or if the session ID was passed by the client.

//Update the session ID.

Session.Abandon();

Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));

//To make sure that the client clears the session ID cookie, respond to the client to tell

//it that we have responded. To do this, set another cookie.

AddRedirCookie();

Response.Redirect( Request.Path );

}

//Make sure that someone is not trying to spoof.

try

{

FormsAuthenticationTicket ticket =

FormsAuthentication.Decrypt( Request.Cookies["__LOGINCOOKIE__"].Value );

if( ticket == null || ticket.Expired == true )

throw new Exception();

RemoveRedirCookie();

}

catch

{

//If someone is trying to spoof, do it again.

AddRedirCookie();

Response.Redirect( Request.Path );

}

Response.Write("Session.SessionID="+Session.SessionID+"<br/>");

Response.Write("Cookie ASP.NET_SessionId="+Request.Cookies["ASP.NET_SessionId"].Value+"<br/>");

}

private void RemoveRedirCookie()

{

Response.Cookies.Add(new HttpCookie("__LOGINCOOKIE__", ""));

}

private void AddRedirCookie()

{

FormsAuthenticationTicket ticket =

new FormsAuthenticationTicket(1,"Test",DateTime.Now,DateTime.Now.AddSeconds(5), false,"");

string encryptedText = FormsAuthentication.Encrypt( ticket );

Response.Cookies.Add( new HttpCookie( "__LOGINCOOKIE__", encryptedText ) );

}

     ：Session.Abandon(); Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));

    Session.Abandon();  Session.clear();       ，        

 


 
            Session.Abandon ，   Session_End  （InProc   ）。
   
            Session_Start  。
   
 Session.Clear    Session            Session，           。
   
Session.Abandon（）            ， clear()