ASP.NET: sesja.Zmiany SessionID między żądaniami

Jest jeszcze inny, bardziej podstępny powód, dla którego może to nastąpić nawet wtedy, gdy obiekt sesji został zainicjowany, jak pokazało Cladudio.

W Sieci.config, jeśli istnieje wpis <httpCookies>, który jest ustawiony na requireSSL="true", ale w rzeczywistości nie używasz HTTPS: dla konkretnego żądania, wtedy plik cookie sesji nie jest wysyłany (lub może nie jest zwracany, nie jestem pewien, który), co oznacza, że kończysz z zupełnie nową sesją dla każdego żądania.

Znalazłem ten trudny sposób, spędzając kilka godziny przechodzące w tę i z powrotem między kilkoma commitami w mojej kontroli źródła, dopóki nie odkryłem, jaka konkretna zmiana zepsuła moją aplikację.

W moim przypadku zorientowałem się, że plik cookie sesji madomenę , która zawiera prefiks www., podczas gdy prosiłem o stronę Bez www..
Dodanie www. do adresu URL natychmiast naprawiło problem. Później zmieniłem domenę cookie na .mysite.com zamiast www.mysite.com.

Using Neville ' s answer (deleting requiessl = true, in web.config) i lekko modyfikując kod Joela Ethertona, oto kod, który powinien obsługiwać witrynę, która działa zarówno w trybie SSL, jak i non SSL, w zależności od użytkownika i strony (wracam do kodu i nie testowałem go jeszcze NA SSL, ale spodziewam się, że powinien działać - będzie zbyt zajęty później, aby wrócić do tego, więc oto jest:

if (HttpContext.Current.Response.Cookies.Count > 0)
        {
            foreach (string s in HttpContext.Current.Response.Cookies.AllKeys)
            {
                if (s == FormsAuthentication.FormsCookieName || s.ToLower() == "asp.net_sessionid")
                {
                    HttpContext.Current.Response.Cookies[s].Secure = HttpContext.Current.Request.IsSecureConnection;
                }
            }
        }

Mój problem polegał na tym, że mieliśmy ten zestaw w sieci.config

<httpCookies httpOnlyCookies="true" requireSSL="true" />

Oznacza to, że podczas debugowania w non-SSL (Domyślnie), plik cookie auth nie zostanie wysłany z powrotem do serwera. oznaczałoby to, że serwer wysyła nowy plik cookie auth (z nową sesją) dla każdego żądania z powrotem do klienta.

Poprawką jest ustawienie requiessl na false w web.config i true w sieci.uwolnij.config lub włącz SSL podczas debugowania:

Inną możliwością, która powoduje, że SessionID zmienia się pomiędzy żądaniami, nawet gdy Session_OnStart jest zdefiniowany i / lub sesja została zainicjowana, jest to, że nazwa hosta URL zawiera nieprawidłowy znak (np. podkreślenie). Uważam, że jest to specyficzne dla IE( nie zweryfikowane), ale jeśli twój adres URL to, powiedzmy, http://server_name/app, IE zablokuje wszystkie pliki cookie, a informacje o sesji nie będą dostępne między żądaniami.

W rzeczywistości każde żądanie będzie zawierało osobną sesję na serwerze, więc jeśli Twoja strona zawiera wiele obrazów, znaczników skryptu itp., wtedy każde z tych żądań GET spowoduje inną sesję na serwerze.

Dalsze informacje: http://support.microsoft.com/kb/316112

Mój problem był z aplikacją Microsoft MediaRoom IPTV. Okazuje się, że aplikacje MPF MRML nie obsługują plików cookie; zmiana na sesje cookieless w sieci.config rozwiązał mój problem

<sessionState cookieless="true"  />

Oto naprawdę stary artykuł o tym: Cookieless ASP.NET

W moim przypadku działo się to często w moich środowiskach programistycznych i testowych. Po wypróbowaniu wszystkich powyższych rozwiązań bez powodzenia okazało się, że udało mi się rozwiązać ten problem, usuwając wszystkie pliki cookie sesji. Rozszerzenie Web developer sprawia, że jest to bardzo łatwe do zrobienia. Głównie używam Firefoksa do testowania i rozwoju, ale stało się to również podczas testowania w Chrome. Poprawka działała również w Chrome.

Jeszcze nie musiałem tego robić w środowisku produkcyjnym i nie otrzymałem zgłoszenia, że osoby nie mogą się zalogować. Wydawało się, że stało się to dopiero po tym, jak pliki cookie sesji były bezpieczne. Nigdy nie zdarzyło się to w przeszłości, kiedy nie byli bezpieczni.

W moim przypadku to dlatego, że modyfikowałem sesję po przekierowaniu z bramy w zewnętrznej aplikacji, więc ponieważ używałem IP zamiast na localhost w tym adresie URL strony, faktycznie uważano ją za inną stronę z różnymi sesjami.

In summary

Zwróć większą uwagę, jeśli debugujesz aplikację hostowaną na IIS zamiast IIS express i mieszasz swój komputer http://Ip i http://localhost w różnych strony

Upewnij się, że nie masz limitu czasu sesji, który jest bardzo krótki, a także upewnij się, że jeśli używasz sesji opartych na plikach cookie, akceptujesz sesję.

FireFox webDeveloperToolbar jest pomocny w takich chwilach jak ten, ponieważ możesz zobaczyć pliki cookie ustawione dla Twojej aplikacji.

Resetowanie identyfikatora sesji może mieć wiele przyczyn. Jednak wszelkie wymienione powyżej nie odnoszą się do mojego problemu. Opiszę to na przyszłość.

W moim przypadku nowa sesja utworzona na każde żądanie skutkowała nieskończoną pętlą przekierowań. Akcja przekierowania odbywa się w zdarzeniu OnActionExecuting.

Również wyczyściłem wszystkie nagłówki http (również w zdarzeniu OnActionExecuting Za Pomocą odpowiedzi .Metoda ClearHeaders) w celu zapobiegania buforowaniu stron na po stronie klienta. Ale ta metoda czyści wszystkie nagłówki, w tym informacje o sesji użytkownika, a co za tym idzie wszystkie dane w Temp storage (które używałem później w programie). Więc nawet ustawienie nowej sesji w zdarzeniu Session_Start nie pomogło.

Aby rozwiązać mój problem, upewniłem się, że nie usuwam nagłówków, gdy nastąpi przekierowanie.

Mam nadzieję, że to komuś pomoże.

Wpadłem na ten problem w inny sposób. Kontrolery, które miały ten atrybut [SessionState(SessionStateBehavior.ReadOnly)] odczytywały z innej sesji, mimo że ustawiłem wartość w oryginalnej sesji po uruchomieniu aplikacji. Dodałem wartość sesji za pomocą _layout.cshtml (może nie najlepszy pomysł?)

To było wyraźnie ReadOnly powodujące problem, ponieważ kiedy usunąłem atrybut, oryginalna sesja (i SessionId) pozostanie w takcie. Dzięki rozwiązaniu Claudio / Microsoftu udało się to naprawić.