论文部分内容阅读
[摘要] 本文主要从ASP.NET在网站开发中的性能及其安全性入手,介绍了如何将Web应用程序运行得越来越快,并且能够得到扩展以处理更多的并发用户,以及如何利用ASP.NET的安全系统来实现最高性能的安全代码。
[关键词] ASP.NET 性能优化 安全性
我们用ASP.NET开发网站,无论我们写的ASP.NET应用程序有多么好,无论在Web站点中添加了多少很酷的新特性,如果我们的站点在处理用户请求时哪怕只是让用户等待了几秒钟,用户也不会对我们的站点留下好印象。事实上,如果用户等得太久,他们就会放弃而去访问另一个站点。那么,如何才能提高站点的响应速度,这就要考虑到我们在开发过程中如何优化ASP.NET的性能。
一、性能开发及其优化
性能表示系统执行任务的速度和效率。就Web站点的性能而言,它对整个站点的点击率起着不可忽视的作用。如果一个性能很差的网站长期没有改进,你就会发现潜在的用户全都跑光了。
1.利用JIT编译器提高程序执行速度
高性能代码旨在能少做工作就少做工作,这是不言而明的。
在编译任何ASP.NET的应用程序时,编译器把源代码转换为Microsoft中间语言(MSIL)。要在一个具体环境中执行应用程序,一个JIT编译器先接受MSIL输出并把指令转换为主机处理的本机指令,再以即时方式编译代码,以便应用程序开始执行。但是,JIT编译器不是把程序集中所有的MSIL都在开始执行前转换为本机代码,只是一次编译一个方法。JIT编译器采用的这种方法有两个性能上的优势。第一个优势:这项技术把编译的成本分摊在一个较长的时间内,由于执行会比JIT编译器把所有的MSIL都进行编译看起来要快,这样感觉到应用程序的性能提高了。如果把长时间的暂停或等待时间分成小块,把它们分散开,你的用户就不会注意到它们,用户对你的应用程序的性能也会比较满意。第二个优势:JIT编译器不编译在执行期间用不到的方法。因此不会做没有必要的工作,无论什么时候省去不必要的处理工作,你就会发现可以获得真正的性能增益。
2.减少运行时的工作
在底层,ASP.NET基础结构为了让我们工作轻松,做了大量的基础工作。虽然把这个体系结构用做一个黑盒很不错,但有时了解使一切如此无缝的运行的实现细节也是很有益的。掌握了这些额外的信息,我们经常可以更有效地在运行程序时获得速度上的优势。其实现主要有以下三种方法:
(1)视图状态的优化
视图状态是性能的无声杀手。自动视图状态管理是服务器控件的功能, 该功能使服务器控件可以在往返过程上重新填充它们的属性值(不需要编写任何代码)。但是, 因为服务器控件的视图状态在隐藏的窗体字段中往返于服务器, 所以该功能确实会对性能产生影响。因此, 开发人员应该知道在哪些情况下视图状态会有所帮助, 在哪些情况下它影响配器的性能。例如, 如果将服务器控件绑定到每个往返过程的数据上, 则将用数据绑定操作获得的新值替换保存的视图状态。在这种情况下, 禁用视图状态可以节省处理时间。默认情况下, 为所有服务器控件启用视图状态。若要禁用视图状态,将控件的EnableViewState 属性设置为false。
从某种意义上说, 视图状态是有史以来最伟大的事情。毕竟, 视图状态使页面和控件能够在回发之间保持状态。因此, 不必像在传统的ASP中那样编写代码, 以防止在单击按钮时文本框中的文本消失, 或在回发后重新查询数据库和重新绑定DataGrid。但是, 视图状态也有缺点: 当它增长得过大时, 某些控件(例如文本框) 会根据视图状态做出相应判断; 其他控件(特别是DataGrid 和GridView) 则根据显示的信息量确定视图状态。一个糟糕的GridView 容易将浏览器和Web 服务器之间连接的有效带宽减少50%以上。ASP.NET 2.0能够提供比ASP.NET 1.x 更简单的方法将视图状态保留在会话状态中。
(2)尽量减少服务器控件的使用
服务器端的控件不仅能生成视图状态,它们也需要额外的运行时间处理绑定到成员变量。由于它们会使用服务器资源,即使它们非常易于使用, 但是服务器控件并不总是完成任务的最佳选择, 在许多情况下, 一个简单的呈现或数据绑定代入就可以完成任务。所以,Web页面上服务器端的控件应该保持在最低的数量上。
(3)把异常减到最少
不要依赖代码中的异常。因为异常大大地降低性能, 所以不应该将它们用作控制正常程序流程的方式。
异常是通知程序执行期间发生的错误的一个非常有用的设备。程序不能忽视异常——它们将会改变程序的执行流。在ASP.NET运行时的托管环境中,用try和catch设置异常处理代码只对性能有可以忽略不计的影响,但程序抛出异常时却有性能的损失。如果将try…catch语句使用为if语句,将抛出更少的异常,运行得更快。
3.有效使用内存和缓存
只要可能, 就缓存数据和页面输出。使用ASP.NET 缓存机制有两点需要注意。首先, 不要缓存太多项,缓存每个项均有开销, 特别是在内存使用方面。不要缓存容易重新计算和很少使用的项。其次, 给缓存的项分配的有效期不要太短。很快到期的项会导致缓存中不必要的周转, 并且经常导致更多的代码清除和垃圾回收工作。高周转率可能说明存在问题, 特别是当项在到期前被移除时。
不要给每个请求分配过多内存, 因为这样垃圾回收器将必须更频繁地进行更多工作。另外, 不要让不必要的指针指向对象, 因为它们将使对象保持活动状态, 并且应尽量避免含Finalize 方法的对象, 因为它们在后面会导致更多的工作。特别是在Finalize调用中永远不要释放资源, 因为资源在被垃圾回收器回收之前可能一直消耗着内存。最后这个问题经常会对Web 服务器环境的性能造成毁灭性的打击, 因为在等待Finalize 运行时, 很容易耗尽某个特定的资源。
二、安全性
ASP.NET提供了一个很健壮的安全系统,我们可以轻松地利用这个安全系统消除在ASP中为Web应用程序提供用户级别的安全性而编写的大量代码。这就意味着你需要编写较少的代码可以实现标准化的安全。
1.ASP.NET 的配置体系和安全体系
NET 框架提供了一个丰富又灵活的配置系统, 使得应用程序开发及管理人员能够在整个应用程序、站点和计算机中定义和使用可扩展的配置数据。其中Machine.Config 为整个Web 服务器提供配置设置, 每一个ASP.NET Web 应用程序根目录以及各级子文件夹都可以有自己的名称为Web. Config 的配置文件。配置文件都是基于XML 格式的文本文件, 通常用来保存一些常量或者安全设置、SQL 连接字符串和其他常规的配置数据等。每一个Web. Config 文件只在该文件夹和其子文件夹下起作用, 每个子文件夹的配置继承父文件夹的的配置, 并覆盖相同的选项。对于在Web. Config 中没有进行设置的属性, 其取值将继承Machine. Config 中属性的设置。如果配置文件被更改, ASP.NET 将检测到新的配置并自动使它起作用, 无需重新启动服务器。另外, ASP.NET 通过配置IIS 来保护各级Web. Config 配置文件, 拒绝浏览器直接URL 访问。
2.ASP.NET身份验证和授权策略
当IIS收到用户请求时,它首先查看资源是如何受到保护的。资源可以用匿名访问保护(大多数Web站点都是如此),或者用标准的本地或活动目录证书保护。接下来,IIS通过标准的访问控制列表(ACL)查看用户对请求的资源是否有访问权限。如果任一项检查失败,IIS甚至在请求到达ASP.NET之前就拒绝它。
在上述过程中发生了两件事。用户身份验证,然后被授权。如果一个ASP.NET资源被请求,IIS对请求进行了身份验证并授权,下一步是由ASP.NET提供它自己的身份验证和授权。这为开发人员自定义的身份验证提供了基础结构,不必从头开发一个安全基础结构。
ASP.NET在应用程序中为验证用户身份提供了三种方法:
(1)Windows身份验证
Windows身份验证提供了与传统的Windows账号(或者是活动目录账号或者是本地账号)相似的集成。该模式的工作方式和正常的IIS身份验证相同。在这种模式下,要禁用对你站点的匿名访问,以保护你的站点不被未授权用户侵入。然后要更新Web. Config文件,指定身份验证模式为Windows身份验证,并指定ASP.NET应该使用用户被IIS质询时输入的证书作为该应用程序的证书。
Windows身份验证是最快的身份验证模式,因为它依赖于IIS模式,因为你不能控制登录页面模式的证书来源——并且该模式要求通过网络访问Windows证书来源,这就意味着它不十分适合于公共的Web应用程序,因为你不能控制客户端或网络访问。
(2)Forms身份验证
Forms身份验证允许开发人员生成他们自己的标准登录页面,并根据Web.Config文件中的条目进行身份验证,或者使用他们自己的身份验证文件。Forms身份验证是可自定义性最强的身份验证方法。因为你能够控制身份验证文件和方法。
和Windows身份验证不同的是Forms身份验证要求单独访问证书来源(即使证书存储在Web.Config中)。应尽量简化身份验证例程,并去除总想包括在内的外部元素(像检索个性化设置、用户图片等)。这些工作只能放在其他时间来作,它们只会延缓登录进程。
(3)Passport身份验证
Passport身份验证允许你把你的应用程序和Microsoft Passport服务集成在一起。该模式的基本工作方式是当检测一个未进行身份验证的请求时,ASP.NET把登录证书从一个Passport登录窗口(在Web服务器上安装Passport服务时也安装该登录窗口)发送到Passport服务。
Passport身份验证是最慢的身份验证方法,因为为了验证证书,它要求通过Internet进行Web服务类型的通信。Passport方法也是有前途的,因为用户只要记住一套证书就能登录到受Passport保护的Web站点中。
三、结束语
对网站来说, 性能和安全性十分重要。ASP.NET 提供了若干新的策略和编程方式,在信息产业高速发展的今天,只有将这些新的策略和编程方式合理应用到站点的开发中,以此来提高站点的性能和安全性,我们的站点才会受到更多的用户的亲睐。
参考文献:
[1 ]Scott Worle著王文龙刘湘宁译:ASP. NET技术内幕[M]. 人民邮电出版社,2002
[2 ]K.scott AllenJames Avery著侯译:ASP. NET性能高级编程[M].清华大学出版社,2003
[3 ]Patrick A.Lorenz. ASP. NET 2.0 Revealed[M].Wrox Press ,2004
[4]尚俊杰秦卫中:ASP.NET 程序设计案例教程[M].北京:清华大学出版社,2005
[关键词] ASP.NET 性能优化 安全性
我们用ASP.NET开发网站,无论我们写的ASP.NET应用程序有多么好,无论在Web站点中添加了多少很酷的新特性,如果我们的站点在处理用户请求时哪怕只是让用户等待了几秒钟,用户也不会对我们的站点留下好印象。事实上,如果用户等得太久,他们就会放弃而去访问另一个站点。那么,如何才能提高站点的响应速度,这就要考虑到我们在开发过程中如何优化ASP.NET的性能。
一、性能开发及其优化
性能表示系统执行任务的速度和效率。就Web站点的性能而言,它对整个站点的点击率起着不可忽视的作用。如果一个性能很差的网站长期没有改进,你就会发现潜在的用户全都跑光了。
1.利用JIT编译器提高程序执行速度
高性能代码旨在能少做工作就少做工作,这是不言而明的。
在编译任何ASP.NET的应用程序时,编译器把源代码转换为Microsoft中间语言(MSIL)。要在一个具体环境中执行应用程序,一个JIT编译器先接受MSIL输出并把指令转换为主机处理的本机指令,再以即时方式编译代码,以便应用程序开始执行。但是,JIT编译器不是把程序集中所有的MSIL都在开始执行前转换为本机代码,只是一次编译一个方法。JIT编译器采用的这种方法有两个性能上的优势。第一个优势:这项技术把编译的成本分摊在一个较长的时间内,由于执行会比JIT编译器把所有的MSIL都进行编译看起来要快,这样感觉到应用程序的性能提高了。如果把长时间的暂停或等待时间分成小块,把它们分散开,你的用户就不会注意到它们,用户对你的应用程序的性能也会比较满意。第二个优势:JIT编译器不编译在执行期间用不到的方法。因此不会做没有必要的工作,无论什么时候省去不必要的处理工作,你就会发现可以获得真正的性能增益。
2.减少运行时的工作
在底层,ASP.NET基础结构为了让我们工作轻松,做了大量的基础工作。虽然把这个体系结构用做一个黑盒很不错,但有时了解使一切如此无缝的运行的实现细节也是很有益的。掌握了这些额外的信息,我们经常可以更有效地在运行程序时获得速度上的优势。其实现主要有以下三种方法:
(1)视图状态的优化
视图状态是性能的无声杀手。自动视图状态管理是服务器控件的功能, 该功能使服务器控件可以在往返过程上重新填充它们的属性值(不需要编写任何代码)。但是, 因为服务器控件的视图状态在隐藏的窗体字段中往返于服务器, 所以该功能确实会对性能产生影响。因此, 开发人员应该知道在哪些情况下视图状态会有所帮助, 在哪些情况下它影响配器的性能。例如, 如果将服务器控件绑定到每个往返过程的数据上, 则将用数据绑定操作获得的新值替换保存的视图状态。在这种情况下, 禁用视图状态可以节省处理时间。默认情况下, 为所有服务器控件启用视图状态。若要禁用视图状态,将控件的EnableViewState 属性设置为false。
从某种意义上说, 视图状态是有史以来最伟大的事情。毕竟, 视图状态使页面和控件能够在回发之间保持状态。因此, 不必像在传统的ASP中那样编写代码, 以防止在单击按钮时文本框中的文本消失, 或在回发后重新查询数据库和重新绑定DataGrid。但是, 视图状态也有缺点: 当它增长得过大时, 某些控件(例如文本框) 会根据视图状态做出相应判断; 其他控件(特别是DataGrid 和GridView) 则根据显示的信息量确定视图状态。一个糟糕的GridView 容易将浏览器和Web 服务器之间连接的有效带宽减少50%以上。ASP.NET 2.0能够提供比ASP.NET 1.x 更简单的方法将视图状态保留在会话状态中。
(2)尽量减少服务器控件的使用
服务器端的控件不仅能生成视图状态,它们也需要额外的运行时间处理绑定到成员变量。由于它们会使用服务器资源,即使它们非常易于使用, 但是服务器控件并不总是完成任务的最佳选择, 在许多情况下, 一个简单的呈现或数据绑定代入就可以完成任务。所以,Web页面上服务器端的控件应该保持在最低的数量上。
(3)把异常减到最少
不要依赖代码中的异常。因为异常大大地降低性能, 所以不应该将它们用作控制正常程序流程的方式。
异常是通知程序执行期间发生的错误的一个非常有用的设备。程序不能忽视异常——它们将会改变程序的执行流。在ASP.NET运行时的托管环境中,用try和catch设置异常处理代码只对性能有可以忽略不计的影响,但程序抛出异常时却有性能的损失。如果将try…catch语句使用为if语句,将抛出更少的异常,运行得更快。
3.有效使用内存和缓存
只要可能, 就缓存数据和页面输出。使用ASP.NET 缓存机制有两点需要注意。首先, 不要缓存太多项,缓存每个项均有开销, 特别是在内存使用方面。不要缓存容易重新计算和很少使用的项。其次, 给缓存的项分配的有效期不要太短。很快到期的项会导致缓存中不必要的周转, 并且经常导致更多的代码清除和垃圾回收工作。高周转率可能说明存在问题, 特别是当项在到期前被移除时。
不要给每个请求分配过多内存, 因为这样垃圾回收器将必须更频繁地进行更多工作。另外, 不要让不必要的指针指向对象, 因为它们将使对象保持活动状态, 并且应尽量避免含Finalize 方法的对象, 因为它们在后面会导致更多的工作。特别是在Finalize调用中永远不要释放资源, 因为资源在被垃圾回收器回收之前可能一直消耗着内存。最后这个问题经常会对Web 服务器环境的性能造成毁灭性的打击, 因为在等待Finalize 运行时, 很容易耗尽某个特定的资源。
二、安全性
ASP.NET提供了一个很健壮的安全系统,我们可以轻松地利用这个安全系统消除在ASP中为Web应用程序提供用户级别的安全性而编写的大量代码。这就意味着你需要编写较少的代码可以实现标准化的安全。
1.ASP.NET 的配置体系和安全体系
NET 框架提供了一个丰富又灵活的配置系统, 使得应用程序开发及管理人员能够在整个应用程序、站点和计算机中定义和使用可扩展的配置数据。其中Machine.Config 为整个Web 服务器提供配置设置, 每一个ASP.NET Web 应用程序根目录以及各级子文件夹都可以有自己的名称为Web. Config 的配置文件。配置文件都是基于XML 格式的文本文件, 通常用来保存一些常量或者安全设置、SQL 连接字符串和其他常规的配置数据等。每一个Web. Config 文件只在该文件夹和其子文件夹下起作用, 每个子文件夹的配置继承父文件夹的的配置, 并覆盖相同的选项。对于在Web. Config 中没有进行设置的属性, 其取值将继承Machine. Config 中属性的设置。如果配置文件被更改, ASP.NET 将检测到新的配置并自动使它起作用, 无需重新启动服务器。另外, ASP.NET 通过配置IIS 来保护各级Web. Config 配置文件, 拒绝浏览器直接URL 访问。
2.ASP.NET身份验证和授权策略
当IIS收到用户请求时,它首先查看资源是如何受到保护的。资源可以用匿名访问保护(大多数Web站点都是如此),或者用标准的本地或活动目录证书保护。接下来,IIS通过标准的访问控制列表(ACL)查看用户对请求的资源是否有访问权限。如果任一项检查失败,IIS甚至在请求到达ASP.NET之前就拒绝它。
在上述过程中发生了两件事。用户身份验证,然后被授权。如果一个ASP.NET资源被请求,IIS对请求进行了身份验证并授权,下一步是由ASP.NET提供它自己的身份验证和授权。这为开发人员自定义的身份验证提供了基础结构,不必从头开发一个安全基础结构。
ASP.NET在应用程序中为验证用户身份提供了三种方法:
(1)Windows身份验证
Windows身份验证提供了与传统的Windows账号(或者是活动目录账号或者是本地账号)相似的集成。该模式的工作方式和正常的IIS身份验证相同。在这种模式下,要禁用对你站点的匿名访问,以保护你的站点不被未授权用户侵入。然后要更新Web. Config文件,指定身份验证模式为Windows身份验证,并指定ASP.NET应该使用用户被IIS质询时输入的证书作为该应用程序的证书。
Windows身份验证是最快的身份验证模式,因为它依赖于IIS模式,因为你不能控制登录页面模式的证书来源——并且该模式要求通过网络访问Windows证书来源,这就意味着它不十分适合于公共的Web应用程序,因为你不能控制客户端或网络访问。
(2)Forms身份验证
Forms身份验证允许开发人员生成他们自己的标准登录页面,并根据Web.Config文件中的条目进行身份验证,或者使用他们自己的身份验证文件。Forms身份验证是可自定义性最强的身份验证方法。因为你能够控制身份验证文件和方法。
和Windows身份验证不同的是Forms身份验证要求单独访问证书来源(即使证书存储在Web.Config中)。应尽量简化身份验证例程,并去除总想包括在内的外部元素(像检索个性化设置、用户图片等)。这些工作只能放在其他时间来作,它们只会延缓登录进程。
(3)Passport身份验证
Passport身份验证允许你把你的应用程序和Microsoft Passport服务集成在一起。该模式的基本工作方式是当检测一个未进行身份验证的请求时,ASP.NET把登录证书从一个Passport登录窗口(在Web服务器上安装Passport服务时也安装该登录窗口)发送到Passport服务。
Passport身份验证是最慢的身份验证方法,因为为了验证证书,它要求通过Internet进行Web服务类型的通信。Passport方法也是有前途的,因为用户只要记住一套证书就能登录到受Passport保护的Web站点中。
三、结束语
对网站来说, 性能和安全性十分重要。ASP.NET 提供了若干新的策略和编程方式,在信息产业高速发展的今天,只有将这些新的策略和编程方式合理应用到站点的开发中,以此来提高站点的性能和安全性,我们的站点才会受到更多的用户的亲睐。
参考文献:
[1 ]Scott Worle著王文龙刘湘宁译:ASP. NET技术内幕[M]. 人民邮电出版社,2002
[2 ]K.scott AllenJames Avery著侯译:ASP. NET性能高级编程[M].清华大学出版社,2003
[3 ]Patrick A.Lorenz. ASP. NET 2.0 Revealed[M].Wrox Press ,2004
[4]尚俊杰秦卫中:ASP.NET 程序设计案例教程[M].北京:清华大学出版社,2005