ASP.Net: Если у меня есть идентификатор сеанса, могу ли я получить объект Session?

Question

Этот вопрос связан с this one, хотя я думаю, что был слишком длинным, чтобы действительно получить хороший ответ. Я буду держать это вкратце.

Я работаю над веб-обработчиком (ashx), который принимает сообщение формы с страницы aspx. Когда обработчик получает сообщение этой формы, чтобы выполнить то, что ему нужно, он должен знать пользователя, который зарегистрировался (User.Identity.Name), но я не могу полагаться на файлы cookie, отправляемые браузером.

Я знаю, что могу получить Session.SessionID и поместить его в поле скрытой формы, но как только мой обработчик получит сообщение о форме, как я могу использовать этот SessionID для определения идентификатора пользователя в системе?

Я использую режим StateServer для состояния сеанса.

Answer 1

Jonas разместил большой ответ на этот вопрос здесь:

Can I put an ASP.Net session ID in a hidden form field?

Answer 2

Я думаю, что вы можете сделать это будет реализовать интерфейс IReadOnlySessionState на вашем HttpHandler

Answer 3

В реализации HttpHandler или HttpModule, вы не всегда можете получить доступ к сеансу с мероприятия BeginRequest. Есть еще одно событие, которое вы можете обработать, называемое OnAcquireRequestState. Если вы напишете свой код в этом случае, то HttpContext.Current.Session не будет пустым.

Answer 4

Если нет необходимости использовать сеанс напрямую, вы всегда можете сохранить любую информацию о входе пользователя в систему в однопользовательском словаре или кеше и ссылаться на нее с помощью SessionID, хранящегося в скрытом поле. Я лично вижу проблемы безопасности в этом, но не буду вдаваться в них. Я бы рассмотрел вопрос о выдаче однопользовательских идентификаторов для этого типа реализации.