对于 ASP.NET 中的会话状态模式，InProc 和 SQL Server 哪一个更好？

Question

我正在开发一个 ASP.NET 网站。我想知道会话状态模式下哪个更好：InProc 或 SQL Server？我需要听听您在这个问题上的经历。

另一个问题是关于 cookieless 属性。如果我将其设置为 true，我的网站是否存在安全漏洞？在我在 MSDN 站点上看到的所有示例中，此属性都设置为 false。

最后一个问题是关于 Timeout 属性的。当我将其设置为 InProc 模式时，此属性是否会影响我的会话生命周期？

Answer 1

从什么方面来说比较好？

• InProc 会话速度要快得多，要求较少（序列化），但当您在多个 Web 服务器上运行应用程序时不可用；

• Sql 会话 速度慢得多，具有对象序列化要求，但可以在多个 Web 服务器之间共享；

这是开发人员应该最关心的它们之间的主要区别。

无 Cookie 会话

您应该就此提出一个单独的问题，因为它与上一个问题完全无关。

如果您关闭 cookie 会话 ID 处理，您将能够看到会话 ID。但如果你检查cookies，你也可以。号码就在那里。

会话 cookie 过期时间设置为浏览器会话，因此在持久性方面实际上是相同的。

如果您知道对方的会话 ID，则会话可能会被劫持。当然，如果您使用无 cookie 会话，那就更容易了，因为您所要做的就是更改 URL...

并且复制 URL 和共享/保存（收藏夹）还有另一件事。我想我不必解释这个问题。

默认情况下，无 Cookie 会话为 false，因为绝大多数浏览器都支持 Cookie。 只有当您知道您的客户端不会有 cookie 时才应将其打开。

会话超时

会话超时始终与会话过期相关，无论会话类型如何。但您必须注意，当您使用 SQL Express 版本时，SQL 会话状态可能不遵守此设置，因为您需要 SQL Server 代理服务来丢弃过期的会话。您可以通过编写自己的 Windows 服务来丢弃过期会话来缓解此问题。

Answer 2

您可以通过 3 种方式使用 Session。每种方法都有优点和缺点

In-Proc：

• Inproc 会话速度更快。
• 您可以添加对象而无需序列化，
• 但仅限于一台服务器，如果您的应用程序将在多台服务器上运行
  一台服务器。这对您不起作用
• 如果发生应用程序池您将丢失所有会话信息

会话状态：

• 将作为Windows服务运行
• 如果您的应用程序将跨多个服务器运行，这将有助于
• 添加到会话的对象需要序列化

Sql Server：

• 使用sql服务器，但也有 Oracle 实现 比
• 状态服务器慢
• 得多 更可靠

也查看这个问题：
SQLServer 与 StateServer 的 ASP.NET 会话状态性能

Answer 3

InProc Session State

InProc会话模式表示会话状态存储在本地，意味着采用InProc会话状态模式是
将对象存储在 Web 应用程序的 AppDomain 中。因此，当 IIS（Internet 信息系统）重新启动时，会话状态会丢失。
一般情况下，AppDomain的重启是基于memoryLimit属性等几个因素
我们可以使用StateServer或SqlServer

会话状态模式来克服这些问题，这里会话状态不存储在Web应用程序的AppDomain中。

OutProc Session State

在 OutProc Session 中，Sessin State 存储在 StateServer 和 SqlServer 模式中，而不是存储在 Web 应用程序的 AppDomain 中。

StateServer：它使用独立的Microsoft Windows服务来存储会话变量，因此该服务
独立于IIS，可以运行在单独的服务器上。
您可以将此模式用于负载平衡解决方案，因为多个 Web 服务器可以共享会话变量。
虽然重新启动 IIS 时会话变量不会丢失，但跨进程边界时性能会受到影响。

SqlServer： SqlServer 模式还使您能够利用位于 IIS 进程之外的状态存储，并且可以
位于本地计算机或远程服务器上。对于会话信息的持久化，可以使用SqlServer模式
SqlServer 模式与进程外模式类似，只不过会话数据保存在 SQL Server 中。