个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
在 asp.net core 中,当使用 SqlServer 存储 session 时,奇怪的是 SqlServer 表中的 Id 列被设置为 sessionKey 的值,这是一个 Guid 由 SessionMiddleware 生成。我说的很奇怪,因为有一个 SessionId 但表中的 Id 没有设置为那个,它被设置为 SessionKey。 (这不是我编的)
用于表中Id 的sessionKey 也是加密后放置在 session cookie 中的值。这是 SessionMiddleware 代码:
var guidBytes = new byte[16];
CryptoRandom.GetBytes(guidBytes);
sessionKey = new Guid(guidBytes).ToString();
cookieValue = CookieProtection.Protect(_dataProtector, sessionKey);
var establisher = new SessionEstablisher(context, cookieValue, _options);
tryEstablishSession = establisher.TryEstablishSession;
isNewSessionKey = true;
然而,SessionId 是由以下代码行中的 DistributedSession object 生成的 Guid:
_sessionId = new Guid(IdBytes).ToString();
有趣的是,ISession 接口(interface)为 SessionId 提供了一个属性,但没有为 SessionKey 提供属性。因此,在代码中访问 SessionId 然后访问 SessionKey 通常要容易得多,例如,当您可以访问 HttpContext 对象时。
这使得很难将 session 与数据库记录相匹配(如果您希望这样做的话)。 stackoverflow 上的另一位用户以及 How to Determine Session ID when using SQL Sever session storage 也指出了这一点。
我想知道的是为什么系统会这样设计?为什么 SessionId 和 SessionKey 不一样?为什么要使用两个不同的 Guids?我问是因为我正在创建我自己的 ISession 实现并且我很想在我的实现中使用 SessionKey 作为 SessionId 这样将数据库中的记录与 session 匹配起来会更容易。那会是个坏主意吗?为什么 DistributedSession 对象不以这种方式设计,而是生成一个不同于 SessionKey 的 SessionId?我能想到的唯一原因可能是试图通过混淆数据库记录和它所属的 session 之间的链接来提高安全性。但总的来说,安全专家并不认为通过混淆来保护安全是有效的。所以我想知道为什么要实现这样的设计?
最佳答案
我还在 GitHub 上发布了这个问题 https://github.com/aspnet/Session/issues/151#issuecomment-287894321也尝试得到答案。
@Tracher 在那里回答了问题,所以我将他的回答粘贴在下面,这样它也可以在 stackoveflow 上找到。
生命周期不同。 session (和 SessionId)的真实生命周期由服务器控制。 SessionKey 存储在 cookie 中,并在客户端存在不确定的时间。如果 session 在服务器上过期,然后客户端使用旧的 SessionKey 发送新请求,则会创建一个具有新 SessionId 的新 session 实例,但使用旧的 SessionKey 进行存储,这样我们就不必发出新的 cookie。
换句话说,不要依赖你无法控制的事情。客户端可以无限期地保留和重播他们的 SessionKey,但它是服务器决定是否真的仍然是同一个 session 。
关于sql-server - 出于什么设计原因,Asp.Net Core SessionKey 与 SessionId 不同?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42590026/
24
4
0
我有 table 像这样 -------------------------------------------- id size title priority
我的应用在不同的 Activity (4 个 Activity )中仅包含横幅广告。所以我的疑问是, 我可以对所有横幅广告使用一个广告单元 ID 吗? 或者 每个 Activity 使用不同的广告单元
我有任意(但统一)数字列表的任意列表。 (它们是 n 空间中 bin 的边界坐标,我想绘制其角,但这并不重要。)我想生成所有可能组合的列表。所以:[[1,2], [3,4],[5,6]] 产生 [[1
我刚刚在学校开始学习 Java,正在尝试自定义控件和图形。我目前正在研究图案锁,一开始一切都很好,但突然间它绘制不正确。我确实更改了一些代码,但是当我看到错误时,我立即将其更改回来(撤消,ftw),但
在获取 Distinct 的 Count 时,我在使用 Group By With Rollup 时遇到了一个小问题。 问题是 Rollup 摘要只是所有分组中 Distinct 值的总数,而不是所有
这不起作用: select count(distinct colA, colB) from mytable 我知道我可以通过双选来简单地解决这个问题。 select count(*) from (
这个问题在这里已经有了答案: JavaScript regex whitespace characters (5 个回答) 2年前关闭。 你能解释一下为什么我会得到 false比较 text ===
这个问题已经有答案了: 奥 git _a (56 个回答) 已关闭 9 年前。 我被要求用 Javascript 编写一个函数 sortByFoo 来正确响应此测试: // Does not cras
所以,我不得不说,SQL 是迄今为止我作为开发人员最薄弱的一面。也许我想要完成的事情很简单。我有这样的东西(这不是真正的模型,但为了使其易于理解而不浪费太多时间解释它,我想出了一个完全模仿我必须使用的
这个问题在这里已经有了答案: How does the "this" keyword work? (22 个回答) 3年前关闭。 简而言之:为什么在使用 Objects 时,直接调用的函数和通过引用传
这个问题在这里已经有了答案: 关闭 12 年前。 Possible Duplicate: what is the difference between (.) dot operator and (-
我真的不明白这里发生了什么但是: 当我这样做时: colorIndex += len - stopPos; for(int m = 0; m < len - stopPos; m++) { c
思考 MySQL 中的 Group By 函数的最佳方式是什么? 我正在编写一个 MySQL 查询,通过 ODBC 连接在 Excel 的数据透视表中提取数据,以便用户可以轻松访问数据。 例如,我有:
我想要的SQL是这样的: SELECT week_no, type, SELECT count(distinct user_id) FROM group WHERE pts > 0 FROM bas
商店表: +--+-------+--------+ |id|name |date | +--+-------+--------+ |1 |x |Ma
对于 chrome 和 ff,当涉及到可怕的 ie 时,这个脚本工作完美。有问题 function getY(oElement) { var curtop = 0; if (oElem
我现在无法提供代码,因为我目前正在脑海中研究这个想法并在互联网上四处乱逛。 我了解了进程间通信和使用共享内存在进程之间共享数据(特别是结构)。 但是,在对保存在不同 .c 文件中的程序使用 fork(
我想在用户集合中使用不同的功能。在 mongo shell 中,我可以像下面这样使用: db.users.distinct("name"); 其中名称是用于区分的集合字段。 同样我想要,在 C
List nastava_izvjestaj = new List(); var data_context = new DataEvidencijaDataContext();
我的 Rails 应用程序中有 Ransack 搜索和 Foundation,本地 css 渲染正常,而生产中的同一个应用程序有一个怪癖: 应用程序中的其他内容完全相同。 我在 Chrome 和 Sa
我是一名优秀的程序员,十分优秀!