Usando cookies em ASP.NET para restaurar se��es

A utilizaç�o de cookies no ASP.Net n�o � muito difundida graças as facilidades de criar e gerir as sess�es do sistema com o provedor (IIS). As sess�es s�o onde muita gente guarda as informaç�es do usu�rio e a mesma � mantida ativa enquanto o usu�rio navega.

Figura 1. Os cookies na internet s�o um pouco diferentes

Toda sess�o tem como default, definido pelo provedor IIS, o tempo limite de vida de 20 minutos, ap�s esse tempo de ociosidade, a sess�o automaticamente � fechada e o canal com o provedor � cancelado.

Ap�s uma nova requisiç�o do usu�rio, alguns sistemas devem forçar o preenchimento novamente do usu�rio e senha, pois por necessidades de neg�cio o mesmo dever� ter permiss�es de entrada para navegar e trabalhar.

Ap�s o fechamento do canal de conversa entre o sistema e o provedor, n�o � mais poss�vel recuperar o estado original da sess�o, pois ela deixa de existir literalmente.

Ent�o entra na jogada outro artif�cio, dentre diversos, para que seja poss�vel revalidar o estado do usu�rio e sua sess�o sem exigir qualquer intervenç�o do usu�rio.

Muitos desenvolvedores t�m certa inflexibilidade quando o assunto de Cookie entra, pois o mesmo exibe certos riscos de segurança, as informaç�es de cookie s�o mantidas no cliente e pessoas maliciosas podem aproveitar-se e roubar informaç�es alheias e ter o acesso indevido as informaç�es.

Por isso devemos utilizar o cookie de modo que ele seja apenas um �revalidador� autom�tico da sess�o do usu�rio e n�o um armazenador de informaç�es cruciais, como senha do usu�rio, informaç�es de endereço entre outras.

Como Funciona o Cookie

Um cookie possui informaç�es puras em textos no formato �Nome-Valor�. S�o geralmente informaç�es n�o confidenciais utilizadas por sites que aderem a um formato mais amig�vel com seus usu�rios.

Como por exemplo: sites de e-commerce sempre ir�o dar as boas vindas quando voc� retornar e at� mesmo produtos em carrinho que h� dias voc� incluiu.

O site ou sistema inclui no seu computador estas informaç�es a qualquer momento que achar mais prop�cio, sendo no seu login, ou apenas no acesso a uma noticia na busca de um produto (Google).

Estes cookies ficam em diret�rios definidos para cada Browser. O desenvolvedor que cri�-los pode definir o tempo que o cookie se manter� ativo na sua m�quina. Passando do tempo estipulado, o cookie se torna inv�lido.

Cuidado com as Limitaç�es

O cookie � bem limitado em todos os aspectos, por isso mesmo ele trafega no protocolo HTTP sem criptografias.

Atente que a dimens�o de um cookie n�o pode ultrapassar (e nem vai) a um total de 4 Kb.

Cada dom�nio (site que cria) tem a permiss�o de criar at� no m�ximo 20 cookies por cliente, portanto entenda que a reutilizaç�o do cookie existente � primordial.

Segundo a Microsoft e dentro de convenç�es de padr�es internacionais, um cliente pode ter at� 300 cookies na sua m�quina.

Chave Nome-Valor

O cookie, por ser uma parte t�o importante de um site como em e-commerce ou demais sites, logo se imagina que o mesmo ocupe grande espaço f�sico, certo?

Errado, a estrutura de um cookie � lev�ssima, isso por que o mesmo possui apenas texto seguido de texto, assim como � uma resposta de uma requisiç�o que retorna Json. Puro texto organizado em chaves e nome-valor.

A estrutura de texto do cookie � simples:


Nome=Valor; Nome2=Valor2; NomeN=ValorN;

Listagem 1. Estrutura de texto do Cookie

Por�m, sempre que o cookie � enviado para o cliente, outras informaç�es cruciais s�o passadas, como o tempo de expiraç�o (Expires). Seguindo a linha temos o path, respons�vel por informar um subdiret�rio para o cookie, o qual limita a utilizaç�o do cookie apenas para uma parte do sistema. O domain por default � assinado automaticamente, entretanto � poss�vel informar o dom�nio, desde que siga a nomenclatura do nome corretamente. E finalizando, o secure, respons�vel por especificar um protocolo seguro para o tr�fego das informaç�es do cookie, sendo SSL ou S-HTTP.

Atributos
Nome do Cookie
Expires
Domain
Path
Secure

Codificar

A seguir temos um exemplo pr�tico de uso de cookies. Primeiramente temos o c�digo de parte da p�gina aspx e, em seguida, o c�digo C# respons�vel pela manipulaç�o dos cookies na pr�tica.


HasUser:<asp:Label runat="server" ID="lblHasUser"></asp:Label>
<br />
<fieldset>
    <legend>Informaç�es do Cookie</legend>
    User:<asp:Label runat="server" ID="lblUser"></asp:Label>
    <br />  
    Domain:<asp:Label runat="server" ID="lblDomain"></asp:Label>
    <br />
    Path:<asp:Label runat="server" ID="lblPath"></asp:Label>
    <br />
    Secure:<asp:Label runat="server" ID="lblSecure"></asp:Label>
    <br />
    Expires:<asp:Label runat="server" ID="lblExpires"></asp:Label>
</fieldset>
<asp:Button runat="server" ID="btnEntrar" Text="Entrar" 
    onclick="btnEntrar_Click" />

Listagem 2. C�digo da p�gina aspx


using System;
using System.Web;
namespace UsingCookieSession
{
    public partial class _Default : System.Web.UI.Page
    {
        protected void Page_Load(object sender, EventArgs e)
        {
            if (IsPostBack) return;
            if (Session["user"] == null && Request.Cookies["user"] == null)
            {
                lblHasUser.Text = "Usu�rio N�o Encontrado";
                return;
            }
            else if (Session["user"] == null)
            {
                ReadCookies();
            }

            SetFormInformation();
        }

        private void SetFormInformation()
        {
            if (Request.Cookies["user"] == null && Session["user"] != null) 
            WriteCookies();
            var cookieInfo = Request.Cookies["user"];
            lblHasUser.Text = (cookieInfo != null).ToString();
            lblUser.Text = cookieInfo.Value;
            lblDomain.Text = cookieInfo.Domain;
            lblExpires.Text = cookieInfo.Expires.ToLongDateString() + " - " + 
            cookieInfo.Expires.ToLongTimeString();
            lblPath.Text = cookieInfo.Path;
            lblSecure.Text = cookieInfo.Secure.ToString();
        }

        private void ReadCookies()
        {
            foreach (var cookie in Request.Cookies)
            {
                if (ReferenceEquals(cookie, "user"))
                {
                    Session["user"] = Request.Cookies[cookie.ToString()].Value;
                    break;
                }
            }
        }

        private void WriteCookies()
        {
            var newCookie = new HttpCookie("user");
            newCookie.Value = Session["user"].ToString();
            newCookie.Expires = DateTime.Now.AddMinutes(20); //Expira em 20 minutos.
            newCookie.Domain = "devmedia.com.br"; //Comente Para funcionar Local
            newCookie.Path = "/devMedia"; //Comente Para funcionar Local
            newCookie.Secure = true; //Comente Para funcionar Local
            Response.Cookies.Add(newCookie);
        }

        protected void btnEntrar_Click(object sender, EventArgs e)
        {
            Session["user"] = "Robson Alves";
            WriteCookies();
            SetFormInformation();
        }
    }
}

Listagem 3. C�digo C# � Code-Behind

Conclus�es

O c�digo � bastante simples, muitas outras validaç�es ainda podem e devem ser realizadas.

Coloque apenas o essencial no cookie, n�o coloque nada confidencial ou primordial, apenas uma bandeira de revalidaç�o.

Atentem-se tamb�m as limitaç�es do cookie, isso � importante para tratar futuros problemas incubados.

Espero que gostem e n�o deixem de pesquisar sobre o assunto.

Refer�ncias

Sobre HTTPS e SSL