Discussion :

[joKED]

Bonjour à tous,

J'ai un problème concernant l'utilisation des variables se session sous ASP.NET et IIS7.

En effet, j'utilise une gestion de session hors processus (via le state server) par cookie. Cependant, lorsque j'ouvre 2 fenêtre différentes d'un navigateur quel qu'il soit, ma session est toujours partagée entre les deux navigateurs, et ça me pose problème.

Exemple : J'écris une valeur X dans une variable de session depuis ma page lancé sur instance1 d'IE9 (ou firefox ou chrome, whatever), et lorsque je lis la valeur X depuis instance2 de mon navigateur, j'ai la même valeur. Et vice versa si je modifie la valeur depuis instance2 ...

D'après les quelques recherches que j'ai effectué, le cookie de session ASP.NET est stocké en mémoire du navigateur (cookie temporaire), et donc pas sur disque. Dès lors, deux navigateurs ouverts avec 2 processus différents ne devraient pas partager ce cookie de session (si je ne me trompe pas). Comment se fait il que ce soit le cas ?

La solution, me direz vous, est d'utiliser un gestion cookieless de session via URI, mais c'est tellement moins user friendly d'avoir ce vilain identifiant de session dans l'url que j'aimerai vraiment éviter.

Je comprendrai que la session soit partagée entre deux onglets car on est dans le même processus (quoique je vois bien un process différent dans le gestionnaire des taches lorsque j'ouvre un nouvel onglet), mais dans deux fenêtres différentes, ouvertes à des moments distincts, je ne comprends pas.

L'un d'entre vous a t'il déjà été confronté à ce problème ? Avez vous une idée d'un éventuel paramétrage qui pourrait m'aider à contourner ce problème ?

Merci de votre aide

[lutecefalco]

Au contraire, je dirais que le cookie est sauvegardé sur le disque.

Si tu veux une nouvelle session en ouvrant une nouvelle fenêtre de ton navigateur, c'est une option à configurer dans ce dernier

[joKED]

Au contraire, je dirais que le cookie est sauvegardé sur le disque

Et vous avez raison. Le cookie de session ASP.NET est non persistant, mais cependant, il est quand même écrit sur le disque. En fait, il s'agit d'un cookie normal, mais sans date d'expiration. Dès lors, il est supprimé lors de la fermeture du navigateur.

Bref, je n'ai pas de solution à ce problème.

Si tu veux une nouvelle session en ouvrant une nouvelle fenêtre de ton navigateur, c'est une option à configurer dans ce dernier

C'est possible ? Si oui, comment faire (sous IE ou firefox par exemple?)

EDIT : En fait, avec IE, c'est super simple, puisqu'il suffit de faire "Fichier > Nouvelle Session" . Par contre, pour Firefox ou Chrome, c'est tout de suite moins drôle, vu qu'il faut jongler avec différents profiles, et pour un utilisateur lambda, c'est absolument ingérable.

[Immobilis]

Salut

le cookie de session ASP.NET est stocké en mémoire du navigateur

Il me semble bien que c'est plutôt sur le serveur. Quand on dit hors processus c'est le processus du serveur pas celui du client.

A+

[joKED]

SalutIl me semble bien que c'est plutôt sur le serveur. Quand on dit hors processus c'est le processus du serveur pas celui du client.

Justement, non. Je parle bien du cookie de session, c'est à dire, celui qui permet au navigateur de stocker l'identifiant de session.
cf MSDN :

ASP.NET must track a session ID for each user so that it can map the user to session state information on the server. By default, ASP.NET uses a non-persistent cookie to store the session state. However, if a user has disabled cookies on the browser, session state information cannot be stored in a cookie.

Les données de la session correspondante sont stockées sur le serveur, hors du processus IIS (via le state server).
Mon problème se situe donc seulement au niveau de ce cookie côté client. Si j'ouvre deux fenêtres distinctes de mon navigateur, et que je me log sur mon site via l'une, l'autre partage le cookie, et donc peut accéder aux données. Sauf si j'utilise le menu "Nouvelle session" d'IE ou pour Firefox/Chrome, que j'utilise un profil différent.

Bref, c'est galère, ça ne m'arrange pas, et je sens que je vais être obligé d'utiliser l'URI au lieu du cookie.

[lutecefalco]

Justement, non. Je parle bien du cookie de session, c'est à dire, celui qui permet au navigateur de stocker l'identifiant de session.
cf MSDN : Les données de la session correspondante sont stockées sur le serveur, hors du processus IIS (via le state server).
Mon problème se situe donc seulement au niveau de ce cookie côté client. Si j'ouvre deux fenêtres distinctes de mon navigateur, et que je me log sur mon site via l'une, l'autre partage le cookie, et donc peut accéder aux données. Sauf si j'utilise le menu "Nouvelle session" d'IE ou pour Firefox/Chrome, que j'utilise un profil différent.

Bref, c'est galère, ça ne m'arrange pas, et je sens que je vais être obligé d'utiliser l'URI au lieu du cookie.

C'est comme ça pour tous les sites, asp.net ou non

[joKED]

Merci lutecefalco pour ton aide.

Le problème vient donc du comportement des navigateurs et non pas d'ASP.NET . En résumé, aucun paramétrage coté serveur, hormis dans IIS7 pour utiliser l'URI à la place du cookie, ne permet de passer outre ce comportement.

Je marque donc ce post comme résolu.