替換的方式的思路:
登錄的ASPX文件中,在登錄成功后將Session中的變量值保存到數(shù)據(jù)庫中的一張表,關鍵字使用ASP.NET的Session對象的SessionID, 然后建立一個ASPX文件,取得當前登錄用戶的SessionID,并使用的ASP.NET重定向語句,轉(zhuǎn)到JSP文件,該URL請求的路徑格式為 test.jsp?aspnetsessionid=ffj12d455p0ujr45vdqwhh45,如果ASP.NET沒有登錄或登錄不成功,雖然有SessionID的值,但數(shù)據(jù)庫中是沒有該SessionID關聯(lián)的數(shù)據(jù)可能有的讀者發(fā)現(xiàn),不用test.jsp?aspnetsessionid=ffj12d455p0ujr45vdqwhh45這樣的請求的路徑也可以完成,是的,可以用test.jsp?userid=1111這樣的方式也傳遞值,當然userid是由ASP.NET登陸成功后,取得的值,但這樣有些用戶就可以知道USERID(用戶編號)這個敏感數(shù)據(jù)了。
建立一張表
table name:
iis_session
field name :
id varchar(26) --存放ASP.NET的SessionID
userid int(4) --存放登錄成功后的用戶編號
power int(4) --存放用戶的權限編號
ASP.NET程序源碼片段:
/*登錄成功后,可將下列CODEING放在登錄的驗證ASPX頁面中*/ //記錄 Session value 到數(shù)據(jù)庫 private void WriteSession2DB(string sessionID,string sUID,string sPWR) { //連接數(shù)據(jù)庫代碼,讀者自行添加 string sessID = sessionID; string strSQL = "insert into iis_session(id,userid,power) values(@seionID,@UID,@PWR)"; //webmod.sqlConn是數(shù)據(jù)庫的連接對象,讀者自行替換成自己的數(shù)據(jù)庫連接 SqlCommand sqlCmd = new SqlCommand(strSQL,webmod.sqlConn); sqlCmd.Parameters.Add("@seionID",SqlDbType.VarChar).Value = sessID; sqlCmd.Parameters.Add("@UID", SqlDbType.Int ).Value = Convert.ToInt32(sUID.Trim()); sqlCmd.Parameters.Add("@PWR", SqlDbType.Int).Value = Convert.ToInt32(sPWR.Trim()); sqlCmd.ExecuteNonQuery(); //關閉數(shù)據(jù)庫連接,讀者自行添加 } /*當用戶退出系統(tǒng),將數(shù)據(jù)庫中對應的SessionID的一行數(shù)據(jù)刪除,可放在退出頁面,或Global.asax的Session_END過程中*/ //刪除數(shù)據(jù)庫中的 Session value private void RemoveSession4DB() { //連接數(shù)據(jù)庫代碼,讀者自行添加 string sessID = Session.SessionID; string strSQL = "delete from iis_session where id=’"+sessID+"’"; //webmod.sqlConn是數(shù)據(jù)庫的連接對象,讀者自行替換成自己的數(shù)據(jù)庫連接 SqlCommand sqlCmd = new SqlCommand(strSQL,webmod.sqlConn); sqlCmd.ExecuteNonQuery(); //關閉數(shù)據(jù)庫連接,讀者自行添加 } /*一個重定向到JSP的ASPX頁面,在這個ASPX頁面的PAGE_LOAD中添加如下代碼*/ private void Page_Load(object sender, System.EventArgs e) { string strSessionID = Session.SessionID.Trim(); String strRoot = "http://localhost/test.jsp?aspnetsessionid="+strSessionID; Response.Redirect(strRoot,true); } |
JSP程序源碼片段:
<%@ page contentType="text/html;charset=gb2312"%> <% /* 自己的數(shù)據(jù)庫連接類,用戶可以自己替換 */ %> <jsp:useBean id="db" scope="page" class="com.itbaby.bean.dbx.database"/> <% String sASPNetSessionID=request.getParameter("aspnetsessionid"); //使用了連接池連接數(shù)據(jù)庫,用戶可以替換成自己的 String sDBSourceName="itbaby_dbpool"; db.dbConnOpen(sDBSourceName); String sSql="select userid,power from iis_session where id=’"+sASPNetSessionID+"’"; //讀者自己替換讀出結果集的代碼 java.sql.ResultSet rs=db.getRs(sSql); if(rs.next()) { String sUID = rs.getString(1); String sPower = rs.getString(2); /*將數(shù)據(jù)庫中對應的SESSIONID的值讀出來,并顯示,如果ASP.NET的SESSION超時,將沒有值*/ out.print("<H1>ASP.Net Session Value UserID = "+sUID+"</H1><br><br>"); out.print("<H1>ASP.Net Session Value Power = "+sPower+"</H1><br><br>"); } rs.close(); db.dbConnClose(); %> |
好了,雖然不是很好的方法,但也可以用,也同樣保護了用戶的一些敏感數(shù)據(jù),我將繼續(xù)考慮使用序列化和反序列化的方式來達到不同的WEB語言之間共享Session對象而不是上面的,共享Session的值。