session丢失引发的思考(asp.net)

这学期，我在参加一个研究性学习。开始我们小组一共有3个同学，没过多久就剩下我一个人了。我们做的是一个“教务网管理系统”，同组的两个同学以“不知道怎么做”为理由推出了这个研究性学习，所以这个项目全部都是我一个人做的。

因为我是一个初学者，所以我边学边做，只要学到什么新的东西，我就在项目中用它。即使不是很合理，我也依然用。我刚开始接触了Session这个东西，我刚开始用它统计网站在线人数，后来我用它传值(从session中读取需要的信息)，再后来我用session做身份验证(在页面的Page_Load事件中，试图从从服务器读取当前的Session，如果session里面的值为空，我就断定非法登陆，就将用户重定向到登陆页面)。之前开发的时候，偶尔会出一些诸如数据读取失败的错误，我也没有怎么在意。后来，我尽量把页面的逻辑变得简单，我用了母版页，只在母版板页的Page_Load事件中做身份验证，但是有时候还会出一些莫名其妙的问题。最近才知道，session会由于一些原因丢失。

Session丢失的原因如下：
原因1：
bin目录中的文件被改写，asp.net有一种机制，为了保证dll重新编译之后，系统正常运行，它会重新启动一次网站进程，这时就会导致Session丢失，所以如果有access数据库位于bin目录，或者有其他文件被系统改写，就会导致Session丢失

原因2：
文件夹选项中，如果没有打开“在单独的进程中打开文件夹窗口”，一旦新建一个窗口，系统可能认为是新的Session会话，而无法访问原来的Session，所以需要打开该选项，否则会导致Session丢失

原因3：
似乎大部分的Session丢失是客户端引起的，所以要从客户端下手，看看cookie有没有打开

原因4：
Session的时间设置是不是有问题，会不会因为超时造成丢失

原因5：
IE中的cookie数量限制（每个域20个cookie）可能导致session丢失

原因6：
使用web garden模式，且使用了InProc mode作为保存session的方式

解决Session丢失的经验
1. 判断是不是原因1造成的，可以在每次刷新页面的时候，跟踪bin中某个文件的修改时间
2. 做Session读写日志，每次读写Session都要记录下来，并且要记录SessionID、Session值、所在页面、当前函数、函数中的第几次Session操作，这样找丢失的原因会方便很多
3. 如果允许的话，建议使用state server或sql server保存session，这样不容易丢失
4. 在global.asa中加入代码记录Session的创建时间和结束时间，超时造成的Session丢失是可以在SessionEnd中记录下来的。
5. 如果有些代码中使用客户端脚本，如javascript维护Session状态，就要尝试调试脚本，是不是因为脚本错误引起Session丢失

后来，我又想想：为什么传值一定要用Session呢？难道没有更好的传值的方法？在网上查了好多资料，才知道还有以下这些方法在不同的页面之间传值：
ASP.NET跨页面传值技巧：
　　1. 使用QueryString变量
　　　　QueryString是一种非常简单的传值方式，他可以将传送的值显示在浏览器的地址栏中。如果是传递一个或多个安全性要求不高或是结构简单的数值时，可以使用这个方法。但是对于传递数组或对象的话，就不能用这个方法了。下面是一个例子：
a.aspx的C#代码
private void Button1_Click(object sender, System.EventArgs e)
{
string s_url;
s_url = "b.aspx?name=" + Label1.Text;
Response.Redirect(s_url);
}

b.aspx中C#代码
private void Page_Load(object sender, EventArgs e)
{
Label2.Text = Request.QueryString["name"];
}

　　2. 使用Application 对象变量
　　　　Application对象的作用范围是整个全局，也就是说对所有用户都有效。其常用的方法用Lock和UnLock。
a.aspx的C#代码
private void Button1_Click(object sender, System.EventArgs e)
{
Application["name"] = Label1.Text;
Server.Transfer("b.aspx");
}

b.aspx中C#代码
private void Page_Load(object sender, EventArgs e)
{
string name;
Application.Lock();
name = Application["name"].ToString();
Application.UnLock();
}

　　3. 使用Session变量
　　　　想必这个肯定是大家使用中最常见的用法了，其操作与Application类似，作用于用户个人，所以，过量的存储会导致服务器内存资源的耗尽。
a.aspx的C#代码
private void Button1_Click(object sender, System.EventArgs e)
{
Session["name"] = Label.Text;
}

b.aspx中C#代码
private void Page_Load(object sender, EventArgs e)
{
string name;
name = Session["name"].ToString();
}

　　4. 使用Cookie对象变量
　　　　这个也是大家常使用的方法，与Session一样，其是什对每一个用户而言的，但是有个本质的区别，即Cookie是存放在客户端的，而session是存放在服务器端的。而且Cookie的使用要配合ASP.NET内置对象Request来使用。

a.aspx的C#代码
private void Button1_Click(object sender, System.EventArgs e)
{
HttpCookie cookie_name = new HttpCookie("name");
cookie_name.Value = Label1.Text;
Reponse.AppendCookie(cookie_name);
Server.Transfer("b.aspx");
}

b.aspx中C#代码
private void Page_Load(object sender, EventArgs e)
{
string name;
name = Request.Cookie["name"].Value.ToString();
}

　　5. 使用Server.Transfer方法
　　　　这个才可以说是面象对象开发所使用的方法，其使用Server.Transfer方法把流程从当前页面引导到另一个页面中，新的页面使用前一个页面的应答流，所以这个方法是完全面象对象的，简洁有效。
a.aspx的C#代码

public string Name
{
get{ return Label1.Text;}
}
private void Button1_Click(object sender, System.EventArgs e)
{
Server.Transfer("b.aspx");
}

b.aspx中C#代码
private void Page_Load(object sender, EventArgs e)
{
a newWeb; //实例a窗体
newWeb = (source)Context.Handler;
string name;
name = newWeb.Name;
}

还有，为什么还要像asp一样使用session进行身份验证呢？ASP.NET里面不是有好几种身份验证模式吗？Windows验证 、Forms验证 、Passport验证，这些身份验证的使用是通过配置Web.config文件的< Authentication >配置节来实现的。