[ASP.NET C#]Afdwingen session end

Dat kan je bij mijn weten niet.

Hoe kan de server nu nl. weten of de website verlaten wordt, als de browser gewoon afgesloten wordt, er gewoon naar een andere site gesurft wordt etc....

6K schreef op 12 maart 2004 @ 10:55:
dat dacht ik idd ook al, ik hoopte dat je met Javascript misschien sneaky iets kon regelen, maar ik had er ook geen idee bij moet ik eerlijk zeggen.

Da's niet betrouwbaar

HttpContext.Session.Abandon()

gebruik je om de session dedicated te killen.
je kunt een logout knop maken die dus die routine aanroept.

[ Voor 66% gewijzigd door EfBe op 12-03-2004 18:11 ]

EfBe schreef op 12 maart 2004 @ 18:11:
HttpContext.Session.Abandon()

gebruik je om de session dedicated te killen.
je kunt een logout knop maken die dus die routine aanroept.

Klopt, maar dit geldt alleen als je op een knopt drukt. Indien iemand weg navigeert van een website of de browser sluit, kan je dit niet betrouwbaar detecteren.

Wat je kunt doen is de session timeout erg laag zetten, bijvoorbeeld op 1 a 2 minuten. Vervolgens zou je via een hidden frame een pagina iedere 1 a 2 minuten kunnen laten verversen (bijvoorbeeld via een META refresh of via Javascript) zodat de sessie niet verloopt als een bezoeker niet binnen de gestelde sessie timeout zelf een nieuwe pagina opvraagt.

Hiermee bereik je dat je in ieder geval een realistischer beeld hebt van de echte hoeveelheid sessies op een server. Daarnaast is dit een redelijk goed mechanisme om een zgn push effect te faken, bijv. als je een web-based e-mail client wilt maken die automatisch laat weten dat er nieuwe mail is.

Tenslotte is het een redelijke oplossing als je hele kostbare resources in je sessie hebt zitten. Hoewel dit natuurlijk zoveel mogelijk voorkomen moet worden is het niet altijd uit te sluiten en in zo'n geval wil je natuurlijk dat een sessie zsm verloopt als een gebruiker de website verlaat.

Nadeel van deze oplossing is natuurlijk de grotere hoeveelheid verkeer naar je website, hoewel de verborgen pagina natuurlijk erg eenvoudig gehouden kan worden. Daarnaast betekent het ook dat als een gebruiker om wat voor reden dan ook een paar minuutjes geen netwerkverbinding heeft dat zijn sessie dan sneller verloopt, wat vervelende gevolgen kan hebben.

EfBe schreef op 12 maart 2004 @ 18:11:
HttpContext.Session.Abandon()

gebruik je om de session dedicated te killen.
je kunt een logout knop maken die dus die routine aanroept.

Kan je niet een timer maken in de global.ascx (thread) die 20 minuten meeloopt, en dan alle sessies killed?

6K schreef op 12 maart 2004 @ 22:22:
die 20 minuten wil ik houden ivm inloggen. Mensen moeten weg kunnen navigeren en weer terug kunnen komen zonder in te hoeven loggen. een timeout van 2 minuten is echt te weinig. zelfs met een refresh dus.

zo'n logout knop is wel een optie, maar ik vrees dat de gemiddelde gebruiker daar niet op drukt als ze weg willen.

ik was al een beetje bang dat het niet kon, omdat ik er helemaal nergens iets over terug kon vinden

Als het is vanwege inloggen, waarom gebruik je daar geen cookies voor?

6K schreef op 12 maart 2004 @ 22:22:
die 20 minuten wil ik houden ivm inloggen. Mensen moeten weg kunnen navigeren en weer terug kunnen komen zonder in te hoeven loggen. een timeout van 2 minuten is echt te weinig. zelfs met een refresh dus.

zo'n logout knop is wel een optie, maar ik vrees dat de gemiddelde gebruiker daar niet op drukt als ze weg willen.

ik was al een beetje bang dat het niet kon, omdat ik er helemaal nergens iets over terug kon vinden

Zolang ze op de site zitten, is er dus ook een (I)Frame dat steeds (een klein deel van) de pagina doet vernieuwen, en dus verloopt de sessie niet.
Dus als je dat frame elke minuut laat refreshen, en je laat de sessies na 2 minuten verlopen, dan heb je denk ik een vrij accuraat beeld...

6K schreef op 12 maart 2004 @ 22:22:
die 20 minuten wil ik houden ivm inloggen. Mensen moeten weg kunnen navigeren en weer terug kunnen komen zonder in te hoeven loggen. een timeout van 2 minuten is echt te weinig. zelfs met een refresh dus.

zo'n logout knop is wel een optie, maar ik vrees dat de gemiddelde gebruiker daar niet op drukt als ze weg willen.

ik was al een beetje bang dat het niet kon, omdat ik er helemaal nergens iets over terug kon vinden

Als je ASP.NET gebruikt, dan kan je gebruik maken van ASP.NET forms authentication. Lees daar eens eea over.

6K schreef op 13 maart 2004 @ 00:36:
Ik wil nu enerzijds de sessie actief houden (20 minuten) en anderzijds zo actueel mogelijk het aantal sessies zien

Je begrijpt het volgens mij niet helemaal. In de oplossing met de verborgen (i)frame blijft de sessie ook gewoon actief zolang de bezoeker op je site blijft, het enige verschil is dat de sessie veel sneller verloopt als de gebruiker daadwerkelijk de site verlaat, doordat de timeout veel lager is gezet.

Normaal gesproken heeft een gebruiker twintig minuten tussen clicks voordat de sessie verloopt maar doordat de verborgen (i)frame zichzelf iedere x minuten ververst verloopt de sessie dus niet ondanks de veel lagere timeout.

Verwijderd schreef op 13 maart 2004 @ 12:34:
[...]


Je begrijpt het volgens mij niet helemaal. In de oplossing met de verborgen (i)frame blijft de sessie ook gewoon actief zolang de bezoeker op je site blijft, het enige verschil is dat de sessie veel sneller verloopt als de gebruiker daadwerkelijk de site verlaat, doordat de timeout veel lager is gezet.

Normaal gesproken heeft een gebruiker twintig minuten tussen clicks voordat de sessie verloopt maar doordat de verborgen (i)frame zichzelf iedere x minuten ververst verloopt de sessie dus niet ondanks de veel lagere timeout.

Ik heb het vermoeden dat in het vetgedrukte stuk nu juist zijn probleem zit.

Maar als ie gewoon cookies gebruikt is het helemaal geen probleem dat een sessie eindigt als de bezoeker even naar een andere site gaat.