文档章节

asp.net mvc4开启SqlServer 会话共享模式

胡佐治
 胡佐治
发布于 2017/08/29 18:37
字数 1224
阅读 18
收藏 0

应用部署结构(精简): 输入图片说明

站点部署在Nginx后面,以Nginx作为反向代理,不希望在Nginx上设置ip_hash,实现比较真实的负载均衡效果。

这时考虑到需要让site1site2同时共享会话信息,进行如下的配置:

默认情况下asp.net站点的会话模式是采用Inproc模式,这种模式在站点因IIS重启会导致丢失用户会话(已经登陆的用户会自动重定向到登陆页面),在本次实践中使用SqlServer模式

创建会话数据库(独立于应用):

aspnet_regsql.exe -S server_ip -E -ssadd -sstype c -d dbname

更多参数可以参考命令的帮助aspnet_regsql.exe /?,通常路径在**C:\Windows\Microsoft.NET\Framework64\{.net_version}**下

配置如下:

<sessionState mode="SQLServer" sqlConnectionString="server=server_ip;database=dbname;uid=user;pwd=pwd;" allowCustomSqlDatabase="True" cookieless="false" timeout="20" />

会话数据库的表ASPStateTempApplications中存放应用的信息(appId和AppName),每一个站点一条记录,我两个站点分别使用该数据库所以有两条记录,如图: 输入图片说明

通过以上的配置, 貌似完成了会话的共享,这时候通过NginxIP地址发送两个请求到服务器(一个登陆,一个获取用户考试列表)。通过Nginx的日志发现两次请求被分发到两台不同的后端服务器:

输入图片说明

从图中可以看出第一次请求是192.168.2.2:80803这个站点处理,第二个请求被192.168.2.5:8083这个站点处理。明明已经设置了会话共享为什么第二次请求被提示为未登录。检查是否登陆的代码如下:

 public class WebApiCheckLoginFilterAttribute : ActionFilterAttribute
    {
        public override void OnActionExecuting(System.Web.Http.Controllers.HttpActionContext actionContext)
        {
            LoginService service = new LoginService();
            string controllerName = actionContext.ActionDescriptor.ControllerDescriptor.ControllerName;
            string actionName = actionContext.ActionDescriptor.ActionName;
            bool isAuthAction = controllerName.Equals("ExamAPI") && actionName.Equals("Login");
            if (!isAuthAction)
            {
                HttpSessionState Session = System.Web.HttpContext.Current.Session;
                if (Session["user"] == null)
                {
                    throw new HttpException((int)HttpStatusCode.NonAuthoritativeInformation, "未登录用户或已在其他设备中登录");
                }
                if (!service.IsOnline(Model.DeviceType.Phone, Session.SessionID))
                {
                    throw new HttpException((int)HttpStatusCode.NonAuthoritativeInformation, "未登录用户或已在其他设备中登录");
                }
            }
            base.OnActionExecuting(actionContext);
        }
    }

上述代码是为了检查如果session['user']==null,就会提示是未登陆。已经配置了会话共享为什么session['user']还是获取不到用户对象?通过各种尝试发现asp.net在处理session的时候会根据站点的AppId加上浏览器上的SessionId在数据库表([ASPStateTempSessions])中创建会话记录,SessionId的值如下:

0kf0zoq4to3h0z0b1eztw43s28d8c075
  • 28d8c075 是AppId685293685的16进制(对应的AppId)
  • 0kf0zoq4to3h0z0b1eztw43s是客户端cookie中存放的sessionid

通过查看存储过程[dbo].[TempGetAppID]的代码,发现asp.net会通过每个站点的AppName(见表ASPStateTempApplications)去获取AppId,然后将SessionId+AppId(16进制)作为主键插入到表ASPStateTempSessions中,这样的处理逻辑是保证一个会话数据库会被N个站点共同使用,不用每个站点创建自己的会话数据库。隐藏的问题是如果站点的AppName不一样会导致获取的AppId不一样达不到会话共享的目的。

验证过程如下:向Nginx发送两个请求(一个登陆,一个获取考试列表)会在ASPStateTempSessions表中产生两条记录,正常情况应该两个请求也应该只产生一条会话记录。

为了保证只产生一条会话记录可以通过让site1site2的AppName保持一致,每次通过存储过程 [dbo].[TempGetAppID]获取的AppId都是同一个。 修改方式为: 输入图片说明

修改完成后,再次发送两个请求(一个登陆,一个获取考试列表),两个请求经过Nginx分发到两个站点后在ASPStateTempSessions只产生一条会话记录,这样才真正的实现会话的一致性。

配置machineKey,在做asp.net站点集群的时候如果站点中使用到cookieviewstate的话需要配置machineKey来确保多台机器共享验证和ViewState.每个节点上的machineKey配置必须一致

按照MSDN的标准说法:“对密钥进行配置,以便将其用于对 Forms 身份验证 Cookie 数据和视图状态数据进行加密和解密,并将其用于对进程外会话状态标识进行验证.加密和解密使用的就是machineKey

生成machineKey的代码

public static string CreateMachineKey(int length)
        {
            byte[] random = new byte[length / 2];
            RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();
            rng.GetBytes(random);
            StringBuilder builder = new StringBuilder();
            for (int i = 0; i < random.Length; i++)
            {
                builder.Append(string.Format("{0:X2}", random[i]));
            }
            return builder.ToString();

        }
   string decryptionKey= CreateMachineKey(48);
   string validationKey = CreateMachineKey(128);

web.config配置内容

<system.web>
     
    <compilation targetFramework="4.0" />
    <machineKey validationKey="validationKey" decryptionKey="decryptionKey"/>
...other...
     </system.web>

小结

asp.net 站点的会话模式如果选用SqlServer的话,需要保证站点群(可能有N个站点)通过[dbo].[TempGetAppID]存储过程获取AppId后的结果是相同的。可以通过修改存储过程,也可以通过修改AppName。

© 著作权归作者所有

胡佐治
粉丝 10
博文 32
码字总数 22828
作品 0
上海
后端工程师
私信 提问
​浅谈Asp.net的sessionState

浅谈Asp.net的sessionState Three Session State providers : InProcSessionStateStore, which stores session state in memory in the ASP.NET worker process OutOfProcSessionStateStore......

KavenSu
2014/10/14
2.4K
0
Session服务器配置指南与使用经验

一.摘要 所有Web程序都会使用Session保存数据. 使用独立的Session服务器可以解决负载均衡场景中的Session共享问题.本文介绍.NET平台下建立Session服务器的几种办法, 并介绍在使用Session时的...

KavenSu
2014/10/11
1K
0
ASP.NET session时间的设置

ASP.NET session时间的设置 方法一: asp.net Session的默认时间设置是20分钟,即超过20分钟后,服务器会自动放弃Session信息. 当我们在asp.net程序中打开webconfig的时候,可以看到一段如下的...

donny945
2014/10/13
67
0
关于c# SESSION丢失问题解决办法

我们在用C#开发程序的时候经常会遇到Session很不稳定,老是数据丢失。下面就是Session数据丢失的解决办法希望对您有好处。 1、在WEB.CONFIG文件中修改SESSION状态保存模式,如:...

王磊的博客
2010/12/13
0
0
SQL数据库的一些攻击

SQL数据库的一些攻击   对于国内外的很多新闻,BBS和电子商务网站都采用ASP+SQL设计,而写 ASP的程序员很多(有很多刚刚毕业的),所以,ASP+SQL的攻击成功率 也比较高。这类攻击方法与NT的...

范堡
2009/05/05
375
0

没有更多内容

加载失败,请刷新页面

加载更多

ERC-777以太坊新代币标准解读

ERC777是一个新的高级代币标准,可以视为ERC20的升级版本,因此它解决了ERC20以及ERC223存在的一些问题,开发者可以根据自己的具体需求进行选型。 1、使用ERC820进行合约注册 有别于ERC20的自...

汇智网教程
今天
4
0
代理模式之JDK动态代理 — “JDK Dynamic Proxy“

动态代理的原理是什么? 所谓的动态代理,他是一个代理机制,代理机制可以看作是对调用目标的一个包装,这样我们对目标代码的调用不是直接发生的,而是通过代理完成,通过代理可以有效的让调...

code-ortaerc
今天
5
0
学习记录(day05-标签操作、属性绑定、语句控制、数据绑定、事件绑定、案例用户登录)

[TOC] 1.1.1标签操作v-text&v-html v-text:会把data中绑定的数据值原样输出。 v-html:会把data中值输出,且会自动解析html代码 <!--可以将指定的内容显示到标签体中--><标签 v-text=""></......

庭前云落
今天
8
0
VMware vSphere的两种RDM磁盘

在VMware vSphere vCenter中创建虚拟机时,可以添加一种叫RDM的磁盘。 RDM - Raw Device Mapping,原始设备映射,那么,RDM磁盘是不是就可以称作为“原始设备映射磁盘”呢?这也是一种可以热...

大别阿郎
今天
14
0
【AngularJS学习笔记】02 小杂烩及学习总结

本文转载于:专业的前端网站☞【AngularJS学习笔记】02 小杂烩及学习总结 表格示例 <div ng-app="myApp" ng-controller="customersCtrl"> <table> <tr ng-repeat="x in names | orderBy ......

前端老手
昨天
16
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部