机器密钥更改后 ASPX 匿名 Cookie 被破坏

Question

我的公司最近遇到了流量高峰，因此我们尝试启动额外的 EC2 实例来处理负载。不幸的是，这导致用户出现 cookie 问题（即，即使您提供了凭据，网站仍不断要求登录）。我们认为这是因为我们忽略了在 Web.config 文件中设置计算机密钥（每台负载平衡计算机上的 Web.config 文件在其他方面都是相同的）。

我们现在不想在 Web.config 中设置新的机器密钥值，因为这会注销所有匿名用户，他们可能已经将商品添加到购物车等。但是我们还想支持缩放。

那么，问题是：

1. 我们的假设是否正确，即机器密钥是用户需要新 cookie 的罪魁祸首？
2. 有没有什么方法可以确定正在使用的当前或默认机器密钥，以便我们可以将其复制到其他负载平衡服务器？
3. 失败2，有没有办法设置新的机器密钥而不丢失我们的匿名用户的数据？

Answer 1

您没有提到您正在使用什么身份验证方法，但如果是表单身份验证，那么是的 - 您的计算机密钥需要在场中的所有服务器之间匹配。您还应该确保所有计算机都打了同样的补丁，因为有多个补丁（特别是 ASP.NET 安全漏洞更新）会更新加密位。

如果您使用默认配置，则机器密钥可能会设置为“自动生成”。据我所知，没有简单的方法可以揭示自动生成的机器密钥的设置。但是，由于您可以访问现有服务器，因此您可能可以通过一些反射代码找到它，如下所示：

http: //aspnetresources.com/blog/how_to_read_auto_ generated_machinekey