問題タブ [session-less]

RC にヒットする ASP.NET MVC3 に関する Guru-Gu のブログ投稿を読んで、彼は次のように述べています。

セッションレス コントローラーのサポート

コントローラー クラスでセッション状態を使用するかどうかを指定できるようになりました。また、使用する場合は、読み取り/書き込み、読み取り専用、読み取り/書き込み、または読み取り専用のいずれにするかを指定できます。

誰かがセッションレスコントローラーを持ちたいと思うかもしれないいくつかのシナリオを説明できますか? または読み取り専用コントローラー？

私は常に、すべての静的画像/コンテンツを処理するために使用する別の IIS Web サイトを作成してから、この同じ Web サイトのセッション状態をオフにしています...したがって、Cookie はネットワーク経由で送信されません。これは同様のシナリオですか？

誰かが私にこれについての詳細な答えを得ることができますか？

ASP.NET MVCでセッションレスコントローラーを使用する利点は何ですか？

セッションを使用するか、セッションレスで設計するか、どちらのアプローチが優れているかを他の人に説明してもらいたいと思いました。私たちは新しい Web アプリケーションの開発を開始していますが、どの道をたどるかはまだ決めていません。

セッションレス設計の IMO の方が望ましい:

長所：

1. スケーラビリティ。ユーザー セッションを共有しなくても、必要な数のサーバーを使用できます。それぞれが要求を処理できます (例: ラウンド ロビンによる負荷分散)。
2. サーバー リソースを節約します。サーバー側でメモリを割り当てる必要はありません (これもスケーラビリティです)。
3. サーバーの再起動後に回復する必要はありません。

短所：

1. 一部のユーザー関連情報を Cookie に保持する必要があります (重要ではありません)。
2. より多くのコーディングが必要です (ただし、それほど多くのコーディングは必要ありません)。

最終決定を下す前に、考慮すべきトピックはありますか?

私は最近、セッションレス コントローラーについて読んでいますが、パフォーマンスが向上し、通常どおり ajax 呼び出しが非同期になるため、興味深いアイデアのようです。

ただし、セッションによって以前に保存されたデータを保存する良い方法がわかりません。一度取得したシングルフェッチデータがたくさんあり、それをいくつかのページに移動します。私が最初に考えたのは MemoryCache を使用することでしたが、IIS はいつでもデータを解放できるため、この投稿を読んで疑い始めました。

このため、セッションのような方法でデータを保存するにはどうすればよいか、少し混乱しました。NoSQL と MongoDB についていくつか読んだことがありますが、それは必要なときにいつでもデータを取得することと同じではないでしょうか?

一時的なデータストアとして使用できる説明とテクノロジーを教えてください。

私は Stripes の Web サイトを持っており、多くのヒットを記録する 1 つのページを作成する予定です。誰かがこのページに移動したときに、Stripes がユーザー セッションを作成しないようにするように求められました。

ユーザーが特定のアクションを行ったときにセッションが作成されないようにする方法はありますか?

AJAX 対応の Web サービスに CSRF 保護を追加したいと考えています。ただし、一部の Web サービスではセッション状態が無効になっています。では、これをどのように処理しますか？

投稿セッションレス CSRF 保護 (二重送信 Cookie)はこれについて話し、Cookie を使用することを示しています。しかし、この投稿のアンチ CSRF クッキーのように? ポイント、クッキーの使用はお勧めできません。

誰かがここに行く正しい道を教えてもらえますか?

前もって感謝します！

Async Ajax リクエストが必要なため、セッション状態を無効にする必要があります。Web アプリは ASP.Net 4 - MVC 2 に基づいています。

私は知っ[SessionState(SessionStateBehavior.Disabled)]ていますが、MVC 3+で利用できます。

次のメソッドを使用して、特定の HTTP リクエストをセッションレス HTTPContext [source]にルーティングしています。

そして Global.asax で:

結果？コードは正しくコンパイルされ、実行時にエラーは発生しません。ただし、何も変更されず、すべての単一の Ajax リクエストの HTTP ヘッダーに、新しいセッションで新しいセット Cookie が表示されます。たとえば、ブラウザが 100 個の Ajax リクエストをリクエストすると、リクエストごとに新しいセッションが生成されます。また、静的な Ajax リクエストにセッションは必要ありません。Chrome Network Monitor によって診断された各 Ajax リクエストに、次の行が表示されます。

Set-Cookie:ASP.NET_SessionId=xlgxdzdxdeilws23prjns3cv; domain=mydomain.com; path=/

なぜそれが機能しないのですか？また、リクエストに対して新しいセッションを作成しないようにするにはどうすればよいですか?

• Rick による別の解決策を試しましたが、結果は上記と同じです。

Yesod をモバイル アプリケーションの API バックエンドとして使用しようとしていますが、ベアラー JWT を使用して認証と承認を処理することにしました。maybeAuthIdYesod.Auth が JWT を問題なく受け入れる (または拒否する) ようにオーバーライドしました。ただし、クライアント セッションに AuthId を保存してクライアントをリダイレクトするというデフォルトの動作ではなく、認証プラグインがクライアントにトークンを返すようにする方法がわかりません。代わりにクライアントにトークンを返すようにデフォルトの認証プラグインフローを変更する方法はありますか?

更新:ドキュメントとソースコードを少し掘り下げて、認証プラグインが現在どのように機能するかについてより良い考えを持っています:認証プラグインは内部的に呼び出しsetCredsRedirectてセッションを設定し、コールバックを実行しますonLogin。使用の問題onLoginは、Credsその関数内からアクセスできないことです。解決策に関する私の唯一の他のアイデアは、authenticate関数を編集して JWT で応答することです。