有没有办法扩展 ASP.Net 表单身份验证，以便会话可以扩展超过 iisreset？

Question

我刚刚收到另一个帖子的 ping，因为我的应用程序在 iisreset 后没有让用户保持登录状态。

How do I solve an AntiForgeryToken exception that occurs after an iisreset in my ASP.Net MVC app?

我不得不说我同意评论者认为这是人为的限制。

从我读到的有关表单身份验证的内容看来，登录的会话信息似乎都存储在内存中，当服务器重新启动时，您会丢失该信息。

我想做的只是能够将这些信息存储在某个地方，最好是在数据库中，这样我就可以继续我的会话。我似乎找不到任何方法来扩展它来做到这一点。我错过了什么吗？我是否误解了它的工作原理？

我意识到这是他们给我们的“免费”套件，但我不想自己推出，因为他们做对了很多事情，而且我有可能搞砸自己的解决方案。

编辑：请注意，这与会话状态无关。据我所知，我根本没有使用会话状态，除非框架中的某些东西在内部使用它。

我意识到 cookie 已被身份验证使用，但它们尚未过期。不过，在 iisreset 之后，我仍然会跳到登录页面。

Answer 1

听起来您的问题是 <machineKey /> validationKey 和 decryptionKey 属性设置为 AutoGenerate，这意味着它们在 IIS 重置时会发生变化。

这意味着加密的持久表单身份验证 cookie 在下次出现时将不再有效。

您可以通过手动配置固定的validationKey 和decryptionKey 来解决此问题。为此，请查看这篇文章：

How To: Configure MachineKey in ASP.NET 2.0

向下滚动到“Web Farm Deployment Considerations”部分并生成加密随机密钥。

Answer 2

身份验证会话和“会话状态”（跟踪防伪令牌的地方）在 ASP.NET 中是两个完全独立的东西。

身份验证（通常）由浏览器中的 cookie 跟踪，因此不会受到 iis 重启的影响。

会话状态默认存储在内存中（重启后会被杀死），但可以很容易地存储在 SQL Server 或专用的状态服务器进程中（这两个进程都可以运行 iis重启）。