.net mvc session失效问题

最近我在研究一个关于MVC项目中session失效的问题，并想与大家分享我的发现。在MVC项目中，session失效是一个常见的问题，它涉及到权限认证和非认证请求的多种情况。以下是我对这个问题进行的分析和解决方案。

一、问题分析

在MVC项目中，session失效可能发生在多种情况下，如基于权限认证的Action使用非Ajax请求、使用JQuery Ajax请求或使用MVC封装的Ajax请求等。对于基于权限认证的Action，session失效后，可以通过继承AuthorizeAttribute并在HandleUnauthorizedRequest方法中处理。而对于无权限认证的Action，需要在自定义的filter中根据新建Session与已请求Session的区别进行判断和处理。

二、基于权限认证的非Ajax请求

public class AuthorizeOfHandleUnAuthorizeAttribute: AuthorizeAttribute { ... }

三、基于权限认证的Ajax请求

对于Ajax请求，处理起来稍微复杂一些。因为Ajax请求的Action返回结果可能是JsonResult或PartialViewResult。对于JsonResult，我们可以通过在返回的结果上增加session超期属性，让客户端进行判断。但考虑到项目已经完成，对所有ajax请求增加判断逻辑可能比较繁琐。我们可以考虑在服务端进行处理。如果请求是Ajax请求且session已失效，我们可以在响应头中添加"sessionstatus":"timeout"，然后结束响应。客户端可以获取响应头中的sessionstatus进行判断，如果为"timeout"，则重定向到登录页面。这种处理方式对于返回结果为PartialViewResult的Action可能不适用。我们需要针对具体情况进行考虑和处理。

处理MVC中的session失效问题需要根据具体情况进行分析和处理。我们需要考虑基于权限认证的Action和非认证请求的不同情况，并在服务端和客户端进行相应的处理。通过合理的处理，我们可以确保用户在session失效后能够正确地被重定向到登录页面，从而提高系统的安全性和用户体验。希望以上的分享能给大家带来一些启发和帮助。在项目中，大部分Ajax请求都是基于MVC框架和jQuery的封装来完成的，能够直接更新指定的div部分。为了简化开发过程并确保所有Ajax请求得到妥善处理，我们找到了一个方法来统一处理Ajax请求的结果，这就是使用jQuery的ajaxSetup()函数。这个函数能够更改jQuery中AJAX请求的默认设置选项，这意味着后续执行的所有AJAX请求如果没有特别设置某些选项参数，将自动采用这个默认设置。

为了处理ajax请求中的session超时问题，我们在ajaxSetup()函数中设置了complete事件的处理函数。当请求完成时，这个函数会检查服务器返回的session状态。如果session状态为“timeout”，说明session已经超时，此时会重定向用户到登录页面。在实际应用中，我们发现基于MVC的jquery.unobtrusive-ajax封装的ajax请求并未受到我们的处理函数的拦截。即使我们设置了ajaxSetup()，jquery.unobtrusive-ajax的某些内部实现仍然使用了自己的处理逻辑。

经过深入研究，我们发现jquery.unobtrusive-ajax在封装ajax请求时，扩展了默认的ajax选项。这些选项覆盖了默认的ajaxSetup()设置，包括我们设置的complete事件处理函数。换句话说，jquery.unobtrusive-ajax有自己的一套处理机制，而我们设置的默认处理函数在这个机制下并不起作用。这就导致了我们在处理session超时问题时遇到了困难。

当我们遭遇认证的Ajax请求中session失效的问题时，实在是束手无策，最终只好选择修改jquery.unobtrusive-ajax的源码。这并不是一个轻松的决定，但我仍决定迎难而上。

在源码中，当ajax请求完成时，有一段处理逻辑涉及到session状态的判断。当session超时后，页面会被重定向到登录页面。我深入了解了这段代码的逻辑，并对其进行了必要的调整。这样，基于认证的ajax请求中的session失效问题基本得到了解决。

这个过程并非完美无缺。修改源码总让我感到些许不安，担心可能会引入新的问题。任何注册了“plete”事件的ajax请求，都需要手动处理session问题，这无疑增加了开发的复杂性。

无权限任务的Action中的Session失效处理

对于无权限认证的Action中的Session失效问题，我同样进行了深入研究。在处理过程中，主要判断了Session是否为新Session，以及是否含有ASP_NET_SessionId的Cookie。如果满足条件，则将用户重定向到登录页面。对于无权限认证的Action，我感觉大多数情况下不需要考虑session失效情况，因为这些Action主要进行公共信息的查询，不涉及session中的信息。

遗留问题与困扰

尽管问题基本得到解决，但在解决过程中遇到了一些令人困惑的现象。我曾试图通过调整配置文件来模拟session失效，但发现项目现有框架总会在登录后的第一个业务请求时将session超期时间更改为60分钟。这个现象让我十分困惑，至今仍未找到原因。为了模拟session失效，我选择了在同一浏览器打开两个tab页，登录系统后，在一个tab页退出，以此达到模拟的效果。

上述内容是关于MVC中session失效问题的介绍，希望能对大家有所帮助。如有任何疑问，请留言，我会及时回复。在此，也要感谢大家对于狼蚁SEO网站的支持。同时感谢大家关注长沙网络推广的内容，我们会继续为大家带来有价值的信息。对于文章中涉及的源码修改和遗留问题，欢迎大家共同，共同学习进步。