這個話題剛開始,我的思路是ASP.NET中序列化Session以二進制數據保存到數據庫,然後由JSP讀取數據庫中的二進制數據反序列化成Session對象,再強制轉化成JAVA的Session對象,在JAVA端轉換時,出現了錯誤,找遍網上的資料也沒能解決,故采用一種替換的方式。
替換的方式的思路:
登錄的ASPX文件中,在登錄成功後將Session中的變量值保存到數據庫中的一張表,關鍵字使用ASP.NET的Session對象的SessionID, 然後建立一個ASPX文件,取得當前登錄用戶的SessionID,並使用的ASP.NET重定向語句,轉到JSP文件,該URL請求的路徑格式為 test.jsp?aspnetsessionid=ffj12d455p0ujr45vdqwhh45,如果ASP.NET沒有登錄或登錄不成功,雖然有SessionID的值,但數據庫中是沒有該SessionID關聯的數據可能有的讀者發現,不用test.jsp?aspnetsessionid=ffj12d455p0ujr45vdqwhh45這樣的請求的路徑也可以完成,是的,可以用test.jsp?userid=1111這樣的方式也傳遞值,當然userid是由ASP.NET登陸成功後,取得的值,但這樣有些用戶就可以知道USERID(用戶編號)這個敏感數據了。
建立一張表
table name:
iis_session
field name :
id varchar(26) --存放ASP.NET的SessionID
userid int(4) --存放登錄成功後的用戶編號
power int(4) --存放用戶的權限編號
ASP.NET程序源碼片段:
/*登錄成功後,可將下列CODEING放在登錄的驗證ASPX頁面中*/
//記錄 Session value 到數據庫
private void WriteSession2DB(string sessionID,string sUID,string sPWR)
{
//連接數據庫代碼,讀者自行添加
string sessID = sessionID;
string strSQL = "insert into iis_session(id,userid,power) values(@seionID,@UID,@PWR)";
//webmod.sqlConn是數據庫的連接對象,讀者自行替換成自己的數據庫連接
SqlCommand sqlCmd = new SqlCommand(strSQL,webmod.sqlConn);
sqlCmd.Parameters.Add("@seionID",SqlDbType.VarChar).Value = sessID;
sqlCmd.Parameters.Add("@UID", SqlDbType.Int ).Value = Convert.ToInt32(sUID.Trim());
sqlCmd.Parameters.Add("@PWR", SqlDbType.Int).Value = Convert.ToInt32(sPWR.Trim());
sqlCmd.ExecuteNonQuery();
//關閉數據庫連接,讀者自行添加
}
/*當用戶退出系統,將數據庫中對應的SessionID的一行數據刪除,可放在退出頁面,或Global.asax的Session_END過程中*/
//刪除數據庫中的 Session value
private void RemoveSession4DB()
{
//連接數據庫代碼,讀者自行添加
string sessID = Session.SessionID;
string strSQL = "delete from iis_session where id=’"+sessID+"’";
//webmod.sqlConn是數據庫的連接對象,讀者自行替換成自己的數據庫連接
SqlCommand sqlCmd = new SqlCommand(strSQL,webmod.sqlConn);
sqlCmd.ExecuteNonQuery();
//關閉數據庫連接,讀者自行添加
}
/*一個重定向到JSP的ASPX頁面,在這個ASPX頁面的PAGE_LOAD中添加如下代碼*/
private void Page_Load(object sender, System.EventArgs e)
{
string strSessionID = Session.SessionID.Trim();
String strRoot = "http://localhost/test.jsp?aspnetsessionid="+strSessionID;
Response.Redirect(strRoot,true);
}
JSP程序源碼片段:
<%@ page contentType="text/html;charset=gb2312"%>
<%
/*
自己的數據庫連接類,用戶可以自己替換
*/
%>
<jsp:useBean id="db" scope="page" class="com.itbaby.bean.dbx.database"/>
<%
String sASPNetSessionID=request.getParameter("aspnetsessionid");
//使用了連接池連接數據庫,用戶可以替換成自己的
String sDBSourceName="itbaby_dbpool";
db.dbConnOpen(sDBSourceName);
String sSql="select userid,power from iis_session where id=’"+sASPNetSessionID+"’";
//讀者自己替換讀出結果集的代碼
java.sql.ResultSet rs=db.getRs(sSql);
if(rs.next())
{
String sUID = rs.getString(1);
String sPower = rs.getString(2);
/*將數據庫中對應的SESSIONID的值讀出來,並顯示,如果ASP.NET的SESSION超時,將沒有值*/
out.print("<H1>ASP.Net Session Value UserID = "+sUID+"</H1><br><br>");
out.print("<H1>ASP.Net Session Value Power = "+sPower+"</H1><br><br>");
}
rs.close();
db.dbConnClose();
%>
好了,雖然不是很好的方法,但也可以用,也同樣保護了用戶的一些敏感數據,我將繼續考慮使用序列化和反序列化的方式來達到不同的WEB語言之間共享Session對象而不是上面的,共享Session的值。