ASP.net：是否可以从会话 ID 手动初始化会话

Question

我正在用 C# 构建一个 Web 服务 (ASMX)。我正在考虑使用 ASP.net 会话 ID 作为身份验证的令牌。

我有使用 CreateSessionID 生成的会话 ID。身份验证成功后，该信息将发送给客户端（作为 Web 服务调用“登录”的返回值）。

对于后续请求，客户端会将会话 ID 作为参数发送给 Web 服务调用。是否可以从该会话 ID 字符串重新创建会话？

提前致谢。

Answer 1

这种方法的问题是 CreateSessionID 实际上并不创建会话。顾名思义，它只创建一个唯一的会话 ID。如果您查看 MSDN 文档 ，它说

此方法并非旨在
从应用程序代码调用。

如果您阅读更多内容，您会发现该方法将被自定义会话 ID 管理器覆盖，然后可以通过编辑 web.config 将其集成到会话管理系统中。

换句话说，您当前对 CreateSessionID 的使用并未执行您希望它执行的操作。

如果您确实想在 Web 服务中使用会话状态，您应该查看 这篇文章。

简而言之，您需要将 EnableSession=true 参数添加到 [WebMethod] 属性中，然后您可以通过 Context.Session 自动访问会话>。请注意，这不需要通过服务传递会话 ID，因为 IIS 将为您处理所有事情。

您可以使用CreateSessionID()方法（尽管最好使用其他方法）来创建用户需要在每个请求中传递的令牌，但这只会用于验证用户；无法基于它重新生成任何会话。如果您确实选择此路线，请确保您的服务是通过 HTTPS 访问的。否则，任何窃听者都会看到纯文本形式的令牌（尽管如果您还检查 IP 地址/用户代理字符串/等，这可以减轻这种情况）

希望有所帮助。