ASP.NETCore-中间件Middleware（五）_认证+授权中间件-Session

英才君

于 2024-08-01 04:17:44 发布

阅读量25

点赞数

文章标签： asp.net 中间件后端

一、简介：

1、ASP.NET Core 通过向客户端提供包含会话 ID 的 cookie 来维护会话状态。 cookie 会话 ID：

会随每个请求发送到应用。
由应用用于提取会话数据。

2、会话状态具有以下行为：

会话 cookie 特定于浏览器。会话不会跨浏览器进行共享。
浏览器会话结束时删除会话 cookie。
如果收到过期的会话 cookie，则创建使用相同会话 cookie 的新会话。
不会保留空会话。会话中必须设置了至少一个值以保存所有请求的会话。会话未保留时，为每个新的请求生成新会话 ID。
应用在上次请求后保留会话的时间有限。应用设置会话超时，或者使用 20 分钟的默认值。在以下情况下，会话状态适合存储用户数据：

特定于某个特定会话。
数据不需要跨会话永久存储。

会话数据在调用 ISession.Clear 实现或会话到期时删除。
没有默认机制告知客户端浏览器已关闭或者客户端上的会话 cookie 被删除或过期的应用代码。
默认情况下，会话状态 cookie 不标记为“基本”。除非站点访问者允许跟踪，否则会话状态不起作用。有关详细信息，请参阅 ASP.NET Core 中的一般数据保护条例 (GDPR) 支持。
注意：ASP.NET 框架中的无 cookie 会话功能没有替代，因为它被视为不安全，可能导致会话修复攻击。

3、内存中缓存提供程序在应用驻留的服务器内存中存储会话数据。在服务器场方案中：

使用粘性会话将每个会话加入到单独服务器上的特定应用实例。默认情况下， Azure 应用服务使用应用程序请求路由 (ARR) 强制实施粘性会话。然而，粘性会话可能会影响可伸缩性，并使 Web 应用更新变得复杂。更好的方法是使用 Redis 或 SQL Server 分布式缓存，它们不需要粘性会话。有关详细信息，请参阅 ASP.NET Core 中的分布式缓存。
会话 cookie 通过 IDataProtector 进行加密。必须正确配置数据保护，以在每台计算机上读取会话 cookie。有关详细信息，请参阅 ASP.NET Core 数据保护概述和密钥存储提供程序。

二、使用

先随便贴点代码

1、WebApi_Net7使用Session

// 开启Session
using Microsoft.AspNetCore.CookiePolicy;
using Microsoft.AspNetCore.Http;
using Microsoft.Extensions.Configuration;
using Microsoft.Extensions.Options;
using Microsoft.OpenApi.Models;
using System;
using System.Net.Http;

namespace fly_chat1_net7
{
    public class Program
    {
        public static void Main(string[] args)
        {
            // try前也可能报错，但是错误是可控的。实际项目中使用时可以再加个try，只记录日志到文件中。
            var configuration = new ConfigurationBuilder()
                .SetBasePath(Directory.GetCurrentDirectory())  // 设置“configuration”的查找目录为程序目录
                .AddJsonFile("appsettings.json")  // 设置“configuration”的读取文件
                .Build();  // 获取配置
                var builder = WebApplication.CreateBuilder(args);
                // 中间件知识https://learn.microsoft.com/zh-cn/aspnet/core/fundamentals/middleware/?view=aspnetcore-6.0#order
                #region 容器Services
                builder.Services.AddControllers();            // 添加Controller
                builder.Services.AddHttpContextAccessor();    // 操作Http上下文；比如：AOP里面可以获取IOC对象
                builder.Services.AddEndpointsApiExplorer();   // ASP.NET Core自身提供；Learn more about configuring Swagger/OpenAPI at https://aka.ms/aspnetcore/swashbuckle
                #region Cookie与Session
                //builder.Services.AddCookiePolicy(options =>  // 要自定义Session使用的Cookie配置时打开这个
                //{
                //    options.MinimumSameSitePolicy = SameSiteMode.Lax;  // 限制只使用同站Cookie；Chrome 51 开始，浏览器的 Cookie 新增加了一个SameSite属性，用来防止 CSRF 攻击和用户追踪。SameSiteMode.Lax 允许 OAuth2身份验证，如Get请求；SameSiteMode.Strict 严格执行同一站点策略。
                //    options.Secure = CookieSecurePolicy.None;          // 标识Cookie是否必须是https。该属性在SameSite=None的场景下生效；CookieSecurePolicy.None为允许Https/Http，CookieSecurePolicy.Always为只允许Https；CookieSecurePolicy.SameAsRequest为登录页的URI是Https时则只允许Https，URI是Http时则允许Http/Https。
                //    options.HttpOnly = HttpOnlyPolicy.None;            // 是否只在Http请求中启用Cookie
                //    options.CheckConsentNeeded = _ => true;            // 检查用户是否位于欧盟（EU）或欧洲经济区（EEA）；是则弹出一个页面让用户同意Cookie跟踪策略。默认是“false”
                //    options.ConsentCookieValue = "true";               // 是否弹出一个页面让用户同意Cookie跟踪策略；默认为“是”。与CheckConsentNeeded类似。
                //    options.ConsentCookie = new CookieBuilder()        // options.CheckConsentNeeded或options.ConsentCookieValue弹出页面的内容
                //    {
                //        Name = configuration["AppName"],     // Cookie名字
                //        Expiration = TimeSpan.FromHours(6),  // Cookie过期时间-6小时
                //        MaxAge = TimeSpan.FromHours(6),      // Cookie最大生命周期-6小时；Expiration与MaxAge如果同时使用，MaxAge会生效；推荐使用MaxAge。
                //        IsEssential = false,                 // 是否可绕过"检查同意政策"，默认为false不绕过
                //    };
                //    //options.OnAppendCookie = CheckSameCookie => { };  // cookie添加事件-记录Cookie变化或者检查是否有相同的Cookie
                //    //options.OnDeleteCookie = AddCookieLog => { };     // cookie删除事件-记录Cookie变化
                //});

                builder.Services.AddDistributedMemoryCache();   // 启用MemoryCache分布式缓存（启用Session时必须启用）
                builder.Services.AddSession(options =>  // 配置Session
                {
                    options.IdleTimeout = TimeSpan.FromHours(6);   // 当Session空闲时会被框架回收，这里设置回收的时间。 此设置仅适用于会话内容，不适用于 cookie。 默认为 20 分钟。
                    options.IOTimeout = TimeSpan.FromSeconds(30);  // 允许从存储加载会话或者将其提交回存储的最大时长。 此设置可能仅适用于异步操作。默认是1分钟，我们这里使用30秒吧
                    options.Cookie.HttpOnly = true;     // 这个就是和AddCookiePolicy()是一样的效果了
                    options.Cookie.IsEssential = true;  // 这个就是和AddCookiePolicy()是一样的效果了
                });
                #endregion Cookie与Session
                #endregion 容器Services

                var app = builder.Build();

                app.UseHttpLogging();
                app.UseHttpsRedirection();
                app.UseStaticFiles();  // 在UseRouting()前
                app.UseRouting();

                app.UseAuthorization();
                app.UseSession();  // 使用Session

                app.MapControllers();
                app.Run();
        }
    }
}

2、Session读写值使用示例

HttpContext对象.Session.Get("KeyName");
  HttpContext对象.Session.GetInt32("KeyName");
  HttpContext对象.Session.GetString("KeyName");
  HttpContext对象.Session.SetInt32("KeyName", 73);
  HttpContext对象.Session.SetString("KeyName", "内容");

3、SessionExtensions扩展类

/*
SessionExtensions方法
使用示例：
  if (HttpContext.Session.Get<DateTime>(SessionKeyTime) == default)
  {
     HttpContext.Session.Set<DateTime>(SessionKeyTime, currentTime);
  }
   HttpContext.Session.Get<DateTime>(SessionKeyTime));
*/
public static class SessionExtensions
{
    public static void Set<T>(this ISession session, string key, T value)
    {
        session.SetString(key, JsonSerializer.Serialize(value));
    }

    public static T? Get<T>(this ISession session, string key)
    {
        var value = session.GetString(key);
        return value == null ? default : JsonSerializer.Deserialize<T>(value);
    }
}