問題タブ [session-state]

サーバーにビューステートを保存するためのいくつかのアプローチを読みました：

これが1つです

ここに別のものがあります

しかし、それらはちょっと複雑です。オブジェクトをシリアル化せずに永続化する方法を探しています。セッション状態を使用できますが、ユーザーが複数のウィンドウを開くと、オブジェクトが上書きされる可能性があります。

これに対する簡単な解決策はありますか？

セッション管理に関して現在のアプリケーションのセキュリティを強化したいと考えており、明示的にログアウトするまでユーザーをログインさせたいと考えています。

それを安全に実装するにはどうすればよいですか？

sessionid、ip、useragent などのセッション情報をデータベースに保持しますか?

要件、場合によってはデータベースのレイアウト、すべきこととすべきでないこと、ヒントとコツを提供してください。

注: asp.NET、rails、codeigniter などのフレームワークが既にそれを処理していることは知っていますが、これはオプションではありません。実際には、古典的なASPアプリケーション用です。しかし、この質問は特定の言語に関係していないと思います。

まず、現在の環境について簡単に説明します。多くの ASP.NET アプリケーションがあり、そのすべてが特定の側面でセッションを使用しています。トラフィック レベルのために複数のサーバーで「負荷分散」されていますが、現在すべての Web アプリケーションがセッション状態に「InProc」を使用するように設定されているため、負荷分散は「スティッキー セッション」を使用するように設定されています。

トラフィック負荷が原因でサーバーが過負荷になる可能性があるため、ロードバランサーの「スティッキーセッション」構成を削除できるようにすることを検討しています。よりバランスの取れたアプローチを採用したいのですが、セッションを使用できる必要があります。

セッション状態の SqlServer が機能することはわかっていますが、制御できない理由により、SqlServer を使用して状態を保存することはできません。調査では、StateServer が最善の策のようです。追加のサーバーがあり、大量のメモリが配置されています。このサーバーは、Web クラスター全体の StateServer になる可能性があります。以下のことを知りたいだけです。

1.) InProc から StateServer への切り替えに関するシリアライゼーションの問題の可能性以外に、上記の環境でセッション オブジェクトが失われたり、エラーが生成されたりするという既知の問題はありますか?

2.) 単一障害点とわずかに遅いパフォーマンス以外に、StateServer を使用する際に注意する必要があるその他の問題があります。

3.) 3 種類の状態ストレージのパフォーマンスの違いを示す指標はありますか?

これは非常に奇妙な質問かもしれませんが、いくつかのヒントやガイドラインが非常に役立ちます。Web サイトを「セッション証明」したいので、基本的に、2 つの異なるセッションが同じリンク構造を生成することを確認します (たとえば、user-a と user-b の両方が同じ Web ページで同じリンクを取得します)。

このテストの背後にある理由は、私たちの Web サイトが、異なるセッションごとに異なるリンク (URL) を生成するコンテンツ管理ソリューションによって生成されるためです。その CMS (内部的に構築されている) は、セッション間で同じリンクを返すように修正されました。

セッション プルーフのもう 1 つの状況は、キャッシング メカニズム (SQUID) が Web サイトに常に TCP_MISSes を与えていることです。これにより、サイト全体が動的にマークされ、キャッシング サーバーが常にすべてのオブジェクトを再取得する必要があると思われます。

ASP.NET Webページがあり、PHPブログ/BBS/Webサイトもあるとします。すべてのログインをASP.NETWebページから実行したいと思います。ASP.NETセッション状態はSQLに保存されます。PHPからセッション状態を読み取り/デコードして、セッション状態Cookieを持っている場合にユーザーがログオンしているかどうかを確認する方法はありますか？

Adobe AIR でアプリを開発する必要があるプロジェクトでは、HTML/Ajax バージョンを選択します。今のところ、プロジェクトは非常に小さく、ログイン部分と詳細部分が含まれています。

私がやりたいのは、アプリの起動時 show login.html で、それが成功した場合は show/browse-to details.html です。

私の質問は、ログインから受け取った情報 (ユーザー ID など) の一部をセッション/アプリケーション コンテナーに保存するための簡単で汚い方法があるかどうかです。

私は彼らの例を簡単に調べましたBlackBookSafeが、私が見たのは、複数のページがありますが、実際にはblackbooksafe.html常に開いたままにして、子ページを本文にロードして、セッションデータを保存するblackbooksafe.html
ことです。ぐちゃぐちゃで、すべてのページが (javascript に関して) 自動的に処理されるようにすることで、読みやすくなります。

SQL セッション状態を使用している場合、セッション終了イベントは使用できません。このイベントを使用する既存のアプリケーションがありますが、アプリケーション用のサーバー ファームをセットアップできるように、それを SQL セッション状態に切り替える必要があります。インプロセス セッション状態を引き続き使用できるように、ロード バランサーで「スティッキー セッション」を使用したいと考えていましたが、それを機能させることができませんでした。

誰かが同様の課題に直面したことがありますか、または何かアイデアがありますか?

ありがとう。

ASP.NET アプリケーションに対して提案されている要件の 1 つは、セッション状態をグローバルに無効にすることです。（これは交渉不可です。）

もう 1 つの要件は、ユーザー認証のための何らかの手段があることです。ASP.NET のメンバーシップ プロバイダー モデルを使用することを考えています。

セッション状態なしでユーザー認証を行うことは可能ですか?

私たちが探している特定のユーザー認証の例は次のとおりです。

• ユーザーが認証されていない Web サイトにアクセスする
• ユーザーが登録情報を入力します（連絡先フィールドなど）
• セッションの残りの部分では、ユーザーは登録されたステータスのおかげで特定のコンテンツにアクセスできます

クッキーでこれを行う方法はありますか?

Cookie が簡単にスプーフィングされないように、これを安全に行うことができますか?

これをサポートする ASP.NET の組み込み機能はありますか? それとも、独自のメソッドを展開する必要がありますか?