以保持會話狀態數據的方式與認證Cookie保持聯繫

Question

我正在開發一個基本上是數據庫代理的ASP.NET MVC 3應用程序。要登錄，用戶必須提供他們的數據庫用戶和名稱。 （我知道使用數據庫用戶作爲應用程序用戶並不是一個好主意，但我沒有設計數據庫，所以不要責怪我。）

當我的用戶登錄時，我想存儲在會話變量中的用戶名和密碼：

Session["UserID"] = TheConnectionStringBuilder.UserID; 
Session["Password"] = TheConnectionStringBuilder.Password; 

然而，會話狀態不固定綁定到身份驗證cookie，並稍後可能會造成問題。有沒有辦法保持會話狀態數據的方式，以保持與身份驗證cookie的關聯？

Answer 1

其中一種方式可能是使用配置將會話狀態超時與身份驗證超時匹配。例如，

<authentication mode="Forms"> 
<forms timeout="30" /> 
</authentication> 

<sessionState timeout="31" /> 

另一種方法是將存儲憑證到一些持久性存儲（如文件）標記有一些生成的密鑰，然後保持身份驗證Cookie此鍵。但是，我覺得這是一個關於做事的方式，我寧願採用會話方式。

由於某種原因，如果您在會話中找不到用戶標識/密碼（例如，應用程序池回收），則可以強制用戶重新登錄（使用FormsAuthentication.SignOut後跟RedirectToLoginPage）。