ASP3高级编程 China.pub. coM 们现在,Web上有许多 cookie,大多数人会接受它们,而不加理会。如果打开浏览器中的 Warn before accepting cookies”选项,接着漫游几个大的站点,你就会明白其中的含意。 1.匿名访问者与授权的访问者 如果认为 cookie是一个有点草率的解决方案,可以使用更直接的方法。许多站点采用的 种方法是,在访问者点击一个站点时,或者点击一个要求验证身份的页面时,弹出一个进行 登录的对话框。访问者首先必须进行注册,获得一个某种类型的用户名/口令的组合,才能允 许访问相应的站点或页面 为了证实访问者是一个已知的并且合法的用户,在访问者的计算机上放置的一个 cookie, 它或者保存注册的详细数据,或者是一把表明已验证过身份的“钥匙(key)”。同时,访问者的 详细数据永久地保存在服务器上,准备再次访问时使用。如果访问者的浏览器中有了这样一 个 cookie,他就可以自由地访问该网站,因为已经验证过了 如果 cookie没有有效期限( Expires), cookie的值在关闭浏览器时自动消失,在下一次访问 时必须重新登册和再次验证。当然,如果拒绝接收 cookie或删除了 cookie,就只能再次得到登 册对话框。这样的话,如果不被识别,就不能访问该站点。 通过强制用户就像登册到自己的网络一样登册到Web服务器, Windows2000整 体安全性能为IS提供更强和更安全的验证功能。但是,这只能与 Internet Explorer 3.0和之上版本的浏览器一起工作。IS也可以使用 BASIC验证允许非 Micros浏览器 注册Web服务器 2.不再有匿名访问者 在 IIS Web服务器上使用ASP时,除非用户离开该站点到另一个网站或者关闭了浏览器 否则能在当前会话中跟踪用户。在本章的后面,将看到如何使用这个功能来标识一个访问者、 存储用户的本地信息和提供状态。下面与已经讨论过的解决方案相比较,讨论其工作方式。 ASP和IS共同提出了一个用户会话的概念,通过 ASP Session对象进行交互。在每个访问 者第一次访问服务器上的一个ASP网页时,为他创建一个新的并且独立的会话对象,分配给 该会话一个会话标识号,并把包含会话标识符的特殊加密版本的一个 cookie发送给客户 cookie的路径(参看前面的章节有关 cookie属性的描述)设置为运行在服务器上的ASP应用 程序的根路径。这很可能是缺省的Web网站的根目录(即“/”),但也可能会是另外一个值(稍 后会看到)。在 cookie中没有提供 Expires值,所以当浏览器关闭时, cookie值也就消失。 每当这个用户访问这个ASP网页,ASP都会查找这个 cookie命名为 ASPSESSIONIDxxxrx, 其中每个x是一个字母字符。从第2章图2-7所示的Servervariables集合,能够在HTTP报头中看 到它。这里高亮地显示 ASP cookie,如图3-1所示 The Request. ServerVariables Collection Servervariables Examples Ll_Http=Http_AccEpt: application/msword, application/vnd. ms-excel, application/nd. ms-powe age/gif,image/x-xbitmap,image/jpeg,image/pjpeg,application/-comet"/http-accept_lan gb Http_conNeCtion: Keep-alive hTtp-hOst: wroxbox HttP_rEfErer:htTp: //wroxbox/testrequest/request form. asp AstDatE=6%2F4%2f99+10%3a10% la/4.0(compatible Msie5.0;Windows98)http_cooKie:Visitcount=vistts=3al 3A13+AM; TimedCookie=TimedExample: ASoS 图3-1显示的 cookie们现在， We b上有许多 c o o k i e，大多数人会接受它们，而不加理会。如果打开浏览器中的 “Warn before accepting cookies”选项，接着漫游几个大的站点，你就会明白其中的含意。 1. 匿名访问者与授权的访问者 如果认为c o o k i e是一个有点草率的解决方案，可以使用更直接的方法。许多站点采用的一 种方法是，在访问者点击一个站点时，或者点击一个要求验证身份的页面时，弹出一个进行 登录的对话框。访问者首先必须进行注册，获得一个某种类型的用户名 /口令的组合，才能允 许访问相应的站点或页面。 为了证实访问者是一个已知的并且合法的用户，在访问者的计算机上放置的一个 c o o k i e， 它或者保存注册的详细数据，或者是一把表明已验证过身份的“钥匙 ( k e y )”。同时，访问者的 详细数据永久地保存在服务器上，准备再次访问时使用。如果访问者的浏览器中有了这样一 个c o o k i e，他就可以自由地访问该网站，因为已经验证过了。 如果c o o k i e没有有效期限( E x p i r e s )，c o o k i e的值在关闭浏览器时自动消失，在下一次访问 时必须重新登册和再次验证。当然，如果拒绝接收 c o o k i e或删除了c o o k i e，就只能再次得到登 册对话框。这样的话，如果不被识别，就不能访问该站点。 通过强制用户就像登册到自己的网络一样登册到 We b服务器，Windows 2000整 体安全性能为 I I S提供更强和更安全的验证功能。但是，这只能与 Internet Explorer 3 . 0和之上版本的浏览器一起工作。 I I S也可以使用B A S I C验证允许非M i c r o s o f t浏览器 注册We b服务器。 2. 不再有匿名访问者 在IIS We b服务器上使用 A S P时，除非用户离开该站点到另一个网站或者关闭了浏览器， 否则能在当前会话中跟踪用户。在本章的后面，将看到如何使用这个功能来标识一个访问者、 存储用户的本地信息和提供状态。下面与已经讨论过的解决方案相比较，讨论其工作方式。 A S P和I I S共同提出了一个用户会话的概念，通过 ASP Session对象进行交互。在每个访问 者第一次访问服务器上的一个 A S P网页时，为他创建一个新的并且独立的会话对象，分配给 该会话一个会话标识号，并把包含会话标识符的特殊加密版本的一个 c o o k i e发送给客户。 c o o k i e的路径(参看前面的章节有关 c o o k i e属性的描述)设置为运行在服务器上的 A S P应用 程序的根路径。这很可能是缺省的 We b网站的根目录(即“/”)，但也可能会是另外一个值 (稍 后会看到)。在c o o k i e中没有提供E x p i r e s值，所以当浏览器关闭时， c o o k i e值也就消失。 每当这个用户访问这个A S P网页，A S P都会查找这个c o o k i e。命名为A S P S E S S I O N I Dx x x x x x x x， 其中每个x是一个字母字符。从第 2章图2 - 7所示的S e r v e r Va r i a b l e s集合，能够在H T T P报头中看 到它。这里高亮地显示ASP cookie，如图3 - 1所示。 图3-1 显示的cookie 值 72计计ASP 3 高级编程 下载