Session實際上是如何在MVC中工作的？

Question

我對MVC4中的會話管理有點困惑。

可以說，我輸入了用戶名和密碼並單擊登錄按鈕。 然後在服務器端，我從HttpContext.Current.Session獲得SessionId。然後我正在驗證該數據庫的用戶憑據。如果用戶有效，則在Session中添加SessionId，userName和uiserId。

可以這樣說，下次請求來自同一臺機器和同一瀏覽器時，我得到了相同的SessionId，然後允許該用戶訪問其他信息。

現在我以下的問題：

1. 如何服務器來知道請求是來自同一個瀏覽器，並從同一臺機器來的？
2. 我發現SessionId對於不同的瀏覽器是不同的，但是對於同一臺瀏覽器在不同的機器上是一樣的，所以如果我從machine1和google chrome登錄，那麼是否有可能爲不同的瀏覽器使用相同的會話？會話將可用於具有相同瀏覽器的不同機器。是否有可能？）
3. 服務器如何理解請求是針對登錄的同一用戶？
4. 在asp.net會話由viewState維護，但視圖狀態不在MVC中使用，那麼MVC中使用了什麼？

Answer 1

首先，我建議閱讀有關HTTP會話的this Wikipedia article。對你的問題的答案：

1. 每個請求的客戶端在任何一個cookie 或查詢字符串發送其SessionId。
2. 這應該是不可能的默認情況下。但可以通過session hijacking完成。
3. 服務器讀取由問題1中的客戶端發送的SessionId。服務器維護例如鍵值數據對象，以便它可以爲給定的SessionId加載正確的數據。
4. ASP MVC不使用視圖狀態，因爲它與ASP.NET完全不同。有關更多信息，請參閱this question。