Asp.net安全验证模式提供了验证用户访问的很好模式,但是还有很多情况下需要我们采用传统的Session方式来解决用户登录验证问题,比如一些简单的验证。今天打开CSDN就发现了一个帖子,该帖子的楼主正在利用这种方式验证用户是否登陆,但是在这个过程中出现了错误,具体是怎么回事呢?
原来搂主想写个方法,该方法功能是判断用户是否登陆,如果没登陆,则自动跳转到登陆页面。楼主的具体判断条件是Session[“username”]是否为空,如果Session[“username”].ToString()为null或者为""则表示未登陆,跳转到一个提示页面。具体代码示例如下:
public int IsUser()
{
if (Session["UserName"].ToString() == null || Session["UserName"].ToString() != null && Session["UserName"].ToString() == "")
{
//可能非有意的引用比较;若要获取值比较,请将左边转为类型string
//Response.Redirect ("../index.aspx");
//Response.Write(" <script language=javascript> alert('你不是管理员!');location.href='Default.aspx'; </script> ");
return 1;
}
else
{
return 0;
}
}
楼主在运行这段代码的时候,vs2005始终出现提示"当前上下文中不存在session",这个是因为相应的代码环境和cs文件的位置所决定的,利用System.Web.HttpContext.Current.Session来调用Session即可。如果了解asp.net底层机制,我们就会发现,Session["UserName"],其实是HttpConText的属性,在aspx文件关联代码中,其提升为Page的属性,所以我们可以如此方便调用,而在非关联代码文件中,则必须通过System.Web.HttpContext.Current.Session方式调用。此时改正后的代码示例如下(不考虑逻辑问题):
public int IsUser()
{
if (System.Web.HttpContext.Current.Session["UserName"].ToString() == null || System.Web.HttpContext.Current.Session ["UserName"].ToString() != null && System.Web.HttpContext.Current.Session ["UserName"].ToString() == "")
{
//可能非有意的引用比较;若要获取值比较,请将左边转为类型string
//Response.Redirect ("../index.aspx");
//Response.Write(" <script language=javascript> alert('你不是管理员!');location.href='Default.aspx'; </script> ");
return 1;
}
else
{
return 0;
}
}
其实,这里还有问题,我们抛开如上问题和其中的逻辑错误问题不谈,有经验的程序员,一下子就会看出问题所在。让我们仔细分析一下,经过如上所说的修正,我们运行程序就会看到异常显示“未将对象引用设置到对象的实例”的错误,然后调试,发现了没有这个Session,因为还没有创建,所以更无法使用ToString()。这样我们明白了,在没登陆时,Session[“username”] =null,此时条件: Session[“username”].ToString()过程中,会出现异常。我们可以想到,如果把先判断Session[“username”] 是否为null,再判断楼主的条件,即可。
这里有两种方法,一种是在外层或前面再加一个if语句;另一种是采用&& 和||运算符(详见逻辑运算符用法),把Session[“username”] ==null放到楼主所写条件的前面,这是因为采用&& ||运算符并且Session[“username”] ==null在判断最前,因而程序先判断Session[“username”] =null,如果不满足条件,则不会继续判断后面的条件,如果满足条件,则继续判断后面的条件,而此时不具备出现异常的情况。采用如上所述方法程序程序会运行通过,无错误,符合功能需要(抛弃楼主条件中的逻辑错误)。此时修改后的代码示例(不考虑逻辑问题)如下:
public int IsUser()
{
if ((System.Web.HttpContext.Current.Session["UserName"]==null)||System.Web.HttpContext.Current.Session["UserName"].ToString() == null || System.Web.HttpContext.Current.Session ["UserName"].ToString() != null && System.Web.HttpContext.Current.Session ["UserName"].ToString() == "")
{
//可能非有意的引用比较;若要获取值比较,请将左边转为类型string
//Response.Redirect ("../index.aspx");
//Response.Write(" <script language=javascript> alert('你不是管理员!');location.href='Default.aspx'; </script> ");
return 1;
}
else
{
return 0;
}
}
如上只是解决了运行问题,从好的程序方面考虑,还有两个问题:
首先,楼主在处理Session转换为string类型时也可以采用(string)Session[“username”]的方式,此时Session[“username”]为null时,不会出现错误,就可不先判断Session[“username”]是否为null。
其次,楼主采用的验证字符串为null或""的方法很不好,应该采用如下方法:string.IsNullOrEmpty((string)Session["UserName"]),这个方法如果字符串为null或者"",则返回True,否则返回False。此时,很简洁,而且省去很多判断。
综合以上,这时,可以不判断Session ["UserName"]值为null的情况(如考虑则有助于减少实际运行时类型转换的次数),修改后的代码示例(修正了逻辑问题)如下:
public int IsUser()
{
if (string.IsNullOrEmpty((string) System.Web.HttpContext.Current.Session ["UserName"]))
{
//可能非有意的引用比较;若要获取值比较,请将左边转为类型string
//Response.Redirect ("../index.aspx");
//Response.Write(" <script language=javascript> alert('你不是管理员!