放弃会话而不清除所有

Question

概述： 我创建了一个具有客户区域和管理区域的系统。两个区域都有不同的登录页面。用户可以在管理区域以 User A 身份登录，同时在客户区域以 User B 身份登录。

当用户从客户或管理区域注销时，Session.Abandon() 会被调用，它会删除客户和管理区域中的会话我不希望发生这种情况

问题：我可以在退出时放弃会话而不影响其他区域的会话吗？ （即：当我从客户区域注销时，我应该在管理区域保持登录状态）

更新：我知道Session.Clear() 可以解决这个问题，但我担心它可能带来的安全风险。

Answer 1

编写您的函数来检查会话的客户 ID 是否 > 0、用户名不为空且 ip 等于远程 ADDR。

将 customer_id、customer_username 和 IP（出于安全考虑）存储在会话中并仅清除它们。 当您调用您的函数时，它将返回该用户未作为客户签名。

同样适用于管理员。

没有必要销毁（放弃）会话，使其保持活动状态并存储其他信息。

public bool IsLoggedIn()
{
    // You will have to check for the keys, if they are present in the Session container, first.

    if(!Session.Containts("customer_id")
            || !Session.Contains("customer_username")
            || !Session.Contains("customer_ip"))
        return false;

    return Session["customer_id"] > 0
        && String.IsNullOrEmpty(Session["customer_username"])
        && Session["customer_ip"] = Request.ServerVariables("REMOTE_ADDR")
}

public void LogOut()
{
    Session.Remove("customer_id");
    Session.Remove("customer_username");
    Session.Remove("customer_ip");
}

Answer 2

问题的核心在于，对于一个 asp Web 应用程序，每个物理用户的浏览器通常只有一个会话 (*)。如果不对站点/框架/服务器代码结构进行一些真正认真的修改，您将无法创建和维护多个并行会话。即使是页面和控件提供的“.Session”哈希图也总是显示相同的键/值..

您的网络应用程序的某些部分可能使用不同的键，从而模拟不相交的“层”或“模块”，但这仍然只是一个存储..

因此，如果您调用 Session-Abandon，您将失去一切 - 因为它只有一个会话..

您唯一能做的就是手动有选择地清除正确的条目，就像 Rolice 在这里并行回答的那样：)

(*) 实际上，当您执行 Session-Abandon 时，您并没有删除/销毁会话。仍然只有一个会话。它刚刚忘记了所有数据，现在它是“空的”= 所以，就像新的一样。好吧，它可能会删除旧的 cookie，我不记得了，但它们会在下一页呈现时立即用新的新密钥重新创建，所以......而是立即。