ajax碰到的登入验证问题
问题描述：


目的：在用户订单后台，想用Ajax做异步删除和添加功能

当前的做法：在显示页面(OrderList.aspx)中通过Ajax提交处理请求到del.aspx?orderId=1 和 add.aspx?title=ttt这两个页面，返回是否操个成功，局部刷新OrderList.aspx

问题：OrderList.aspx可以验证用户是否登入，在add.aspx和del.aspx这两个页面中怎么判断提交的用户是否为当前浏览OrderList.aspx的用户(防止用户通过查看html源码找到add.aspx和del.aspx恶意的提交)

另外：对session的工作原理不是太明白，比果一个用户登入，服务器和给也分配一个sessionID，当用户打开一个新窗口输入url提交，服务器是怎么知道是当前用户的 会在用户请求的http头中附带上sessionID吗？

------解决方案--------------------
session是个用户级的。每个登陆的用户都会有个session，
你可以用Cookies
如
if (Request.Cookies["MemberName"] != null && Request.Cookies["MemberPass"] != null)
{
}
------解决方案--------------------
放到 HttpCookie cookie 里
------解决方案--------------------
楼上正解 关了cookie 就玩完了。
------解决方案--------------------
Dream6000 
 
等 级：
 发表于：2008-01-22 15:08:292楼 得分:0 
楼上 很感谢你的回答，你所说的我明白， 我疑惑的是服务器是怎么辩别出每一个用户的session? 
 

session具有派生性(同域),所以这一点,你不必担心.
但是你的 add.aspx和del.aspx一定要进行身份验证.