如何传输 ASP.NET 会话状态对象？

Question

为了减轻潜在的会话固定/陷阱攻击，我们需要能够在用户成功登录后将 ASP.NET 会话状态从一个会话 ID 转移到另一个会话 ID。用户在登录之前有重要的会话信息需要转移，因此我们不能只调用 Session.Abandon 或 Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", "")) 因为所有会话状态都会丢失。我们可以使用 System.Web.SessionState.SessionIDManager 调用 CreateSessionID()，然后调用 SaveSessionID() 来生成新的 ID，但同样，先前的状态会在下一个请求时丢失。所以我的问题基本上是如何将会话状态从登录前会话 ID 传输/关联到登录后会话 ID。

Answer 1

有很多文章和帖子解释了使用会话状态的潜在问题。最明显的是对多服务器环境的支持存在问题。

如果您将当前放入 Session[] 中的项目存储在数据库中或使用基于 SQL 的会话，那么“传输”只需将用户或连接与特定记录集相关联即可。

如果您绕过 Session 对象并自己处理所有事情（如果您想维护简单的 Session[] 键值接口，那么这是一项微不足道的任务），您将获得许多好处，例如在会话之间和跨应用程序之间保留的设置（如只要他们共享一个公共数据库）。