Доступ к сеансу с помощью ASP.NET Web API

Question

Доступ к сеансу с помощью ASP.NET Web API

208

Я понимаю, что сеанс и REST не идут рука об руку, но разве невозможно получить доступ к состоянию сеанса с помощью нового веб-API? HttpContext.Current.Session всегда имеет значение null.

Mark 06 март 2012, в 23:14

Источник

3

[SessionState(SessionStateBehavior.Required)] на ApiController делает ApiController дело (или .ReadOnly где это уместно).
Roman Starkov 26 март 2018, в 21:20
0

@RomanStarkov Не удалось заставить это работать. Какую среду вы использовали? .NET Core?
Bondolin 27 фев. 2019, в 13:01
0

@ Бондолин нет, это был не Core.
Roman Starkov 28 фев. 2019, в 00:15
0

@RomanStarkov MVC тогда? У меня проблемы с поиском.
Bondolin 05 март 2019, в 19:03
0

@Bondolin SessionStateAttribute и да, MVC.
Roman Starkov 06 март 2019, в 21:09

Показать ещё 3 комментария

Теги:

asp.net

asp.net-web-api

12 ответов

58

Вы можете получить доступ к состоянию сеанса с помощью настраиваемого RouteHandler.

// In global.asax
public class MvcApp : System.Web.HttpApplication
{
    public static void RegisterRoutes(RouteCollection routes)
    {
        var route = routes.MapHttpRoute(
            name: "DefaultApi",
            routeTemplate: "api/{controller}/{id}",
            defaults: new { id = RouteParameter.Optional }
        );
        route.RouteHandler = new MyHttpControllerRouteHandler();
    }
}

// Create two new classes
public class MyHttpControllerHandler
    : HttpControllerHandler, IRequiresSessionState
{
    public MyHttpControllerHandler(RouteData routeData) : base(routeData)
    { }
}
public class MyHttpControllerRouteHandler : HttpControllerRouteHandler
{
    protected override IHttpHandler GetHttpHandler(
        RequestContext requestContext)
    {
        return new MyHttpControllerHandler(requestContext.RouteData);
    }
}

// Now Session is visible in your Web API
public class ValuesController : ApiController
{
    public string Get(string input)
    {
        var session = HttpContext.Current.Session;
        if (session != null)
        {
            if (session["Time"] == null)
                session["Time"] = DateTime.Now;
            return "Session Time: " + session["Time"] + input;
        }
        return "Session is not availabe" + input;
    }
}

Найдено здесь: http://techhasnoboundary.blogspot.com/2012/03/mvc-4-web-api-access-session.html

warrickh 07 дек. 2012, в 07:42

12

Обновление: если ваши функции API читают из сеанса и не изменяют сеанс, было бы неплохо использовать IReadOnlySessionState вместо IRequiresSessionState. Это гарантирует, что сеанс не заблокирован во время обработки функции API.
warrickh 09 июнь 2013, в 20:48
6

не работает для меня в MVC 4 - route.RouteHandler даже не собственность для меня. @LachlanB, похоже, работает на меня.
bkwdesign 26 авг. 2013, в 19:15
3

Спасибо @bkwdesign за указание на решение MVC. Этот ответ относится только к веб-API.
warrickh 26 авг. 2013, в 23:55
2

Кажется, это не поддерживает атрибуты маршрута. Мысли?
Tim S 06 нояб. 2015, в 19:14
0

Как указал bkwdesign, это больше не поддерживается. Однако есть способ определить поведение состояния сеанса для маршрута с помощью DataTokens: stackoverflow.com/a/34727708/1412787
Axel Wilczek 11 янв. 2016, в 17:44
0

@AxelWilczek, проблема метода bkwdesign заключается в том, что он использует Application_PostAuthorizeRequest. Если вы работаете с большим проектом, состоящим из множества страниц, обработчиков и методов веб-API, каждая страница пройдет через этот метод. Тим, ты прав, это не поддерживает маршрутизацию атрибутов. Я надеюсь найти решение.
Ryan Kara 13 янв. 2017, в 21:21

Показать ещё 4 комментария

28

Почему бы избежать использования сеанса в WebAPI?

Производительность, производительность, производительность!

Там очень хорошая и часто забываемая причина, почему вы вообще не должны использовать Session в WebAPI.

Способ ASP.NET, когда сеанс используется, - это сериализовать все запросы, полученные от одного клиента. Теперь я не говорю о сериализации объектов, но выполняю их в полученном порядке и ожидаю завершения каждого из них до запуска следующего. Это делается для того, чтобы избежать неприятных условий нити/гонки, если два запроса каждый раз пытаются получить доступ к сеансу одновременно.

Параллельные запросы и состояние сеанса

Доступ к состоянию сеанса ASP.NET является исключительным за сеанс, что означает, что если два разных пользователя одновременные запросы, предоставляется доступ к каждому отдельному сеансу одновременно. Однако , если два параллельных запроса сделаны для тот же сеанс (с использованием того же значения SessionID), первый запрос получает эксклюзивный доступ к информации о сеансе. Второй запрос выполняется только после завершения первого запроса. (второй сеанс также может получить доступ, если исключить исключительную блокировку информации потому что первый запрос превышает тайм-аут блокировки.) Если Значение EnableSessionState в директиве @Страница установлено в ReadOnly, a запрос для информации сеанса только для чтения не приводит к исключительная блокировка данных сеанса. Однако запросы только для чтения для сессионным данным все равно придется ждать блокировки, установленной чтением-записью запрос на очистку данных сеанса.

Итак, что это значит для Web API? Если у вас есть приложение, на котором запущено множество запросов AJAX, тогда только одно может работать одновременно. Если у вас более медленный запрос, он блокирует все остальные, пока он не будет завершен. В некоторых приложениях это может привести к очень заметной вялости производительности.

Таким образом, вы должны, вероятно, использовать контроллер MVC, если вам абсолютно нужно что-то из сеанса пользователей и избежать лишнего снижения производительности, чтобы включить его для WebApi.

Вы можете легко проверить это самостоятельно, просто поместив Thread.Sleep(5000) в метод WebAPI и включите сеанс. Запустите 5 запросов, и они займут в общей сложности 25 секунд. Без сеанса они занимают в общей сложности чуть более 5 секунд.

(Это же рассуждение относится к SignalR).

Simon_Weaver 28 май 2015, в 07:24

15

Вы можете обойти это, используя [SessionState (SessionStateBehavior.ReadOnly)], если ваш метод читает только из сеанса.
Rocklan 15 июль 2015, в 04:57

21

Отметьте, если вы проверите пример nerddinner MVC, логика почти такая же.

Вам нужно всего лишь восстановить файл cookie и установить его в текущем сеансе.

Global.asax.cs

public override void Init()
{
    this.AuthenticateRequest += new EventHandler(WebApiApplication_AuthenticateRequest);
    base.Init();
}

void WebApiApplication_AuthenticateRequest(object sender, EventArgs e)
{
    HttpCookie cookie = HttpContext.Current.Request.Cookies[FormsAuthentication.FormsCookieName];
    FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(cookie.Value);

    SampleIdentity id = new SampleIdentity(ticket);
    GenericPrincipal prin = new GenericPrincipal(id, null); 

    HttpContext.Current.User = prin;
}

enter code here

Вам нужно будет определить свой класс SampleIdentity, который вы можете взять из проекта nerddinner.

JSancho 07 март 2012, в 13:42

2

-> stackoverflow.com/a/9594406/324238 <-
fampinheiro 15 май 2012, в 21:05
0

Класс идентификации находится в NerdDinner_2.0 \ NerdDinner \ Models \ NerdIdentity.cs.
mhenry1384 10 апр. 2014, в 13:12
0

Это не работает для меня (в .NET 4). У меня никогда не было этого печенья. Это работает только если у вас включена FormsAuthentication?
mhenry1384 10 апр. 2014, в 18:54
0

cookie действительно генерируется после аутентификации через форму входа. Вы также можете настроить, как и когда он будет создан, см. Stackoverflow.com/questions/7217105 Но вам все еще нужен пользователь для эффективной аутентификации на веб-сервере.
JSancho 10 апр. 2014, в 23:00
0

Вопрос требует HttpContext.Current.Session, и этот ответ не дает четкого объяснения того, что необходимо сделать. Смотрите ответ @LachlanB.
JCallico 29 апр. 2014, в 20:50

Показать ещё 3 комментария

21

Хорошо, что вы правы, REST не имеет гражданства. Если вы используете сеанс, обработка будет выполнена с сохранением состояния, последующие запросы смогут использовать состояние (из сеанса).

Для того, чтобы сеанс был регидратирован, вам нужно предоставить ключ для связывания состояния. В обычном приложении asp.net этот ключ предоставляется с использованием файлов cookie (cookie-сессий) или параметров url (сеансы cookieless).

Если вам нужна сессия, забудьте отдохнуть, сеансы не имеют отношения к проектам на основе REST. Если вам нужна сессия для проверки, используйте маркер или авторизацию по IP-адресам.

Nickz 07 март 2012, в 01:28

10

Я не уверен в этом. В примерах Microsoft они показывают использование атрибута Authorize. Я пробовал это, и это работает с проверкой подлинности на основе форм. Веб-API знает о состоянии аутентификации, которое передается в куки-файле аутентификации по умолчанию.
Mark 07 март 2012, в 01:18
4

Вот пример, на который я ссылаюсь: code.msdn.microsoft.com/ASPNET-Web-API-JavaScript-d0d64dd7 . Он использует новый веб-API на основе REST, реализующий проверку подлинности с помощью форм.
Mark 07 март 2012, в 01:24
4

Я успешно использовал атрибут [Authorize], не нуждаясь в состоянии сеанса. Я просто написал обработчик сообщения аутентификации, чтобы установить личность.
Antony Scott 07 март 2012, в 23:34
1

Как сказал @Filip здесь: stackoverflow.com/a/11479021/538387 , давайте не будем идти по этому пути (добавляя сеанс в Web API, который должен быть без сохранения состояния). Но у того же Филипа есть хорошая статья о кешировании веб-API: goo.gl/2rnfI Я разветвлял его в gitHub и добавил еще несколько функций в исходный код, теперь он поддерживает отдельный кэш вывода для зарегистрированных пользователей: goo.gl/ oW4hX ПРИМЕЧАНИЕ. Я все еще совершенствую код и проверяю его на возможные нарушения безопасности.
Tohid 28 дек. 2012, в 15:29
0

@Метки. и Энтони Скотт - данные аутентификации ASP.NET поступают в cookie. Насколько мне известно, файлы cookie не нарушают принцип безгражданства RESTful. Также имейте в виду, что [Авторизация] работает только тогда, когда веб-страница и веб-API находятся на одном веб-сайте (домене). Он не работает в разных доменах (например, когда вы вызываете API Bing Map со своего веб-сайта). Сказав это, я все еще задаюсь вопросом, следует ли нам использовать [Authorize] или всегда ожидать «Authorization» в заголовке HTTP-запроса.
Tohid 28 дек. 2012, в 15:33
56

Отмеченный вами, потому что вы не предложили ответ на его проблему, и, более того, Web Api - это асинхронный фреймворк, который отлично работает с тяжелым веб-приложением ajax. Никто не говорил, что вы должны уважать все принципы дизайна RESTful, чтобы получить выгоду от использования инфраструктуры Web API.
Brian Ogden 13 апр. 2013, в 16:48
1

Я согласен с Брайаном, хотя я не голосовал против. Интерфейсы RESTful - и, в частности, веб-API - обеспечивают простой и понятный подход к реализации веб-приложения на основе служб. Но, в конечном счете, я гораздо больше заинтересован в том, чтобы быть продуктивным, чем быть достаточно «чистым» в отношении REST.
Mark Brittingham 05 янв. 2014, в 19:08
3

@Метки. правильно сообщить, что веб-API не должен знать о состоянии сеанса. Отрицательный ответ до сих пор остается ответом. До голосования.
Antoine Meltzheim 06 март 2014, в 22:22
0

-1 Комментарий не должен быть ответом.
ta.speot.is 18 авг. 2014, в 05:47
0

Сессия по-прежнему полезна для кэширования пользовательских реализаций IPrincipal, которые нужно поместить в текущий поток / контекст / приложение, в соответствии с «Бизнес-объектами C # 2008» Рокфорда Лотки. Но я согласен, сама логика API не должна требовать состояния сеанса.
Richard Collette 19 авг. 2014, в 22:18
0

Я не могу вспомнить ни одного приложения, основанного на сессиях, которое я когда-либо делал, которому никогда НЕ требовалась информация о сессиях в веб-интерфейсе. Конечно, если я сделаю REST-сервис полностью, полностью и всесторонне предназначенным только для выполнения, не предназначенного для пользователя, тогда точно. Я не голосовал против, но хотел. Ничего личного, я просто искренне не согласен. Попробуйте сказать то же самое утверждение (ОП) любому, кто пишет на любом другом веб-языке. Это еще одна сильная рука проблемы Microsoft.
Barry 21 март 2017, в 22:01

Показать ещё 9 комментариев

9

Чтобы устранить проблему:

protected void Application_PostAuthorizeRequest()
{
    System.Web.HttpContext.Current.SetSessionStateBehavior(System.Web.SessionState.SessionStateBehavior.Required);
}

в Global.asax.cs

Suresh Muttagi 25 июль 2015, в 19:29

2

Предупреждение! Это включит сеанс для ВСЕХ запросов. Это действительно может снизить производительность, если ваше приложение использует встроенные ресурсы.
cgatian 28 сен. 2015, в 13:56
0

@cgatian какое-нибудь альтернативное решение исправлено ?
Kiquenet 13 май 2016, в 09:55
0

Я думаю, что лучший подход - это то, что предлагает @Treyphor. Не включайте его для всех запросов. Просто маршруты, которые имеют "/ api" или что-то в URL. Также, если возможно, установите состояние сеанса только для чтения для ваших контроллеров API.
cgatian 13 май 2016, в 11:09

Показать ещё 1 комментарий

9

Последний не работает сейчас, возьмите это, он сработал у меня.

в WebApiConfig.cs в App_Start

    public static string _WebApiExecutionPath = "api";

    public static void Register(HttpConfiguration config)
    {
        var basicRouteTemplate = string.Format("{0}/{1}", _WebApiExecutionPath, "{controller}");

        // Controller Only
        // To handle routes like `/api/VTRouting`
        config.Routes.MapHttpRoute(
            name: "ControllerOnly",
            routeTemplate: basicRouteTemplate//"{0}/{controller}"
        );

        // Controller with ID
        // To handle routes like `/api/VTRouting/1`
        config.Routes.MapHttpRoute(
            name: "ControllerAndId",
            routeTemplate: string.Format ("{0}/{1}", basicRouteTemplate, "{id}"),
            defaults: null,
            constraints: new { id = @"^\d+$" } // Only integers 
        );

Global.asax

protected void Application_PostAuthorizeRequest()
{
  if (IsWebApiRequest())
  {
    HttpContext.Current.SetSessionStateBehavior(SessionStateBehavior.Required);
  }
}

private static bool IsWebApiRequest()
{
  return HttpContext.Current.Request.AppRelativeCurrentExecutionFilePath.StartsWith(_WebApiExecutionPath);
}

здесь: http://forums.asp.net/t/1773026.aspx/1

Cruiser KID 03 фев. 2013, в 02:04

0

Это простейшее решение, но в коде есть несколько ошибок, так что оно на самом деле не работает. Я опубликовал другое решение, основанное на этом, не стесняйтесь редактировать свое, чтобы оно соответствовало моему.
Rocklan 09 июль 2013, в 02:28
0

Небольшое исправление в строке _WebApiExecutionPath должно считывать открытую статическую строку _WebApiExecutionPath = "~ / api";
stephen ebichondo 16 май 2016, в 11:27

8

Следуя ответу LachlanB, если ваш ApiController не находится в определенном каталоге (например,/api), вы можете вместо этого протестировать запрос с помощью RouteTable.Routes.GetRouteData, например:

protected void Application_PostAuthorizeRequest()
    {
        // WebApi SessionState
        var routeData = RouteTable.Routes.GetRouteData(new HttpContextWrapper(HttpContext.Current));
        if (routeData != null && routeData.RouteHandler is HttpControllerRouteHandler)
            HttpContext.Current.SetSessionStateBehavior(SessionStateBehavior.Required);
    }

Stumblor 17 сен. 2013, в 17:29

6

У меня была такая же проблема в asp.net mvc, я исправил ее, поместив этот метод в мой базовый контроллер api, который все мои контроллеры api наследуют от:

    /// <summary>
    /// Get the session from HttpContext.Current, if that is null try to get it from the Request properties.
    /// </summary>
    /// <returns></returns>
    protected HttpContextWrapper GetHttpContextWrapper()
    {
      HttpContextWrapper httpContextWrapper = null;
      if (HttpContext.Current != null)
      {
        httpContextWrapper = new HttpContextWrapper(HttpContext.Current);
      }
      else if (Request.Properties.ContainsKey("MS_HttpContext"))
      {
        httpContextWrapper = (HttpContextWrapper)Request.Properties["MS_HttpContext"];
      }
      return httpContextWrapper;
    }

Затем в вашем вызове api вы хотите получить доступ к сеансу, который вы только что сделали:

HttpContextWrapper httpContextWrapper = GetHttpContextWrapper();
var someVariableFromSession = httpContextWrapper.Session["SomeSessionValue"];

У меня также есть это в моем файле Global.asax.cs, как и другие люди, опубликованные, но не уверен, что вам все еще нужно, используя метод выше, но здесь это на всякий случай:

/// <summary>
/// The following method makes Session available.
/// </summary>
protected void Application_PostAuthorizeRequest()
{
  if (HttpContext.Current.Request.AppRelativeCurrentExecutionFilePath.StartsWith("~/api"))
  {
    HttpContext.Current.SetSessionStateBehavior(SessionStateBehavior.Required);
  }
}

Вы также можете просто создать собственный атрибут фильтра, который вы можете использовать в своих вызовах api, для которых вам нужен сеанс, тогда вы можете использовать сеанс в своем вызове api, как обычно, через HttpContext.Current.Session [ "SomeValue" ]:

  /// <summary>
  /// Filter that gets session context from request if HttpContext.Current is null.
  /// </summary>
  public class RequireSessionAttribute : ActionFilterAttribute
  {
    /// <summary>
    /// Runs before action
    /// </summary>
    /// <param name="actionContext"></param>
    public override void OnActionExecuting(HttpActionContext actionContext)
    {
      if (HttpContext.Current == null)
      {
        if (actionContext.Request.Properties.ContainsKey("MS_HttpContext"))
        {
          HttpContext.Current = ((HttpContextWrapper)actionContext.Request.Properties["MS_HttpContext"]).ApplicationInstance.Context;
        }
      }
    }
  }

Надеюсь, что это поможет.

Treyphor 04 дек. 2013, в 18:09

5

Я следил за подходом @LachlanB, и действительно, сеанс был доступен, когда в запросе присутствовал файл cookie сеанса. Недостающая часть заключается в том, как cookie сеанса отправляется клиенту в первый раз?

Я создал HttpModule, который не только позволяет доступность HttpSessionState, но и отправляет cookie клиенту при создании нового сеанса.

public class WebApiSessionModule : IHttpModule
{
    private static readonly string SessionStateCookieName = "ASP.NET_SessionId";

    public void Init(HttpApplication context)
    {
        context.PostAuthorizeRequest += this.OnPostAuthorizeRequest;
        context.PostRequestHandlerExecute += this.PostRequestHandlerExecute;
    }

    public void Dispose()
    {
    }

    protected virtual void OnPostAuthorizeRequest(object sender, EventArgs e)
    {
        HttpContext context = HttpContext.Current;

        if (this.IsWebApiRequest(context))
        {
            context.SetSessionStateBehavior(SessionStateBehavior.Required);
        }
    }

    protected virtual void PostRequestHandlerExecute(object sender, EventArgs e)
    {
        HttpContext context = HttpContext.Current;

        if (this.IsWebApiRequest(context))
        {
            this.AddSessionCookieToResponseIfNeeded(context);
        }
    }

    protected virtual void AddSessionCookieToResponseIfNeeded(HttpContext context)
    {
        HttpSessionState session = context.Session;

        if (session == null)
        {
            // session not available
            return;
        }

        if (!session.IsNewSession)
        {
            // it safe to assume that the cookie was
            // received as part of the request so there is
            // no need to set it
            return;
        }

        string cookieName = GetSessionCookieName();
        HttpCookie cookie = context.Response.Cookies[cookieName];
        if (cookie == null || cookie.Value != session.SessionID)
        {
            context.Response.Cookies.Remove(cookieName);
            context.Response.Cookies.Add(new HttpCookie(cookieName, session.SessionID));
        }
    }

    protected virtual string GetSessionCookieName()
    {
        var sessionStateSection = (SessionStateSection)ConfigurationManager.GetSection("system.web/sessionState");

        return sessionStateSection != null && !string.IsNullOrWhiteSpace(sessionStateSection.CookieName) ? sessionStateSection.CookieName : SessionStateCookieName;
    }

    protected virtual bool IsWebApiRequest(HttpContext context)
    {
        string requestPath = context.Request.AppRelativeCurrentExecutionFilePath;

        if (requestPath == null)
        {
            return false;
        }

        return requestPath.StartsWith(WebApiConfig.UrlPrefixRelative, StringComparison.InvariantCultureIgnoreCase);
    }
}

JCallico 29 апр. 2014, в 21:53

0

Это прекрасно работает. Это сохраняет сеанс между запросами до тех пор, пока не истекло время ожидания. Не уверен, собираюсь ли я использовать его в prod, пока не найду хороший способ переключить состояние сеанса между обязательным и только для чтения, чтобы остановить блокировку запросов, но это дало мне начальный путь, который я желаю. Спасибо!
Derreck Dean 19 авг. 2016, в 16:15

1

нужно упомянуть об ответе @LachlanB.

protected void Application_PostAuthorizeRequest()
    {
        if (IsWebApiRequest())
        {
            HttpContext.Current.SetSessionStateBehavior(SessionStateBehavior.Required);
        }
    }

Если вы опустите строку if (IsWebApiRequest())

Весь сайт будет иметь проблему медленности загрузки страницы, если ваш сайт смешан с страницами веб-форм.

maxisam 31 авг. 2015, в 16:17

-5

Возвращаясь к основам, почему бы не сохранить его простым и сохранить значение Session в скрытом html-значении для перехода к вашему API?

контроллер

public ActionResult Index()
        {

            Session["Blah"] = 609;

            YourObject yourObject = new YourObject();
            yourObject.SessionValue = int.Parse(Session["Blah"].ToString());

            return View(yourObject);
        }

cshtml

@model YourObject

@{
    var sessionValue = Model.SessionValue;
}

<input type="hidden" value="@sessionValue" id="hBlah" />

Javascript

$(document).ready(function() {

    var sessionValue = $('#hBlah').val();

    alert(sessionValue);

    /* Now call your API with the session variable */}

}

Andy A. 23 окт. 2013, в 16:27

1

Что если приложение использует как MVC, так и WebAPI? Кроме того, некоторые вещи более целесообразно хранить на стороне сервера, например токены безопасности Sharepoint. Вместо того, чтобы реализовывать специальную оболочку для хранения токенов, такую как контейнер Azure BLOB-объектов, иногда целесообразно повторно использовать Session для данных этого типа. Контекст безопасности Sharepoint, реализованный в шаблоне приложения, использует сеанс для хранения этих контекстов безопасности, и передаются только небольшие фрагменты данных (тег сеанса) вместо нескольких килобайт данных. Было бы здорово, если бы этот контекст был меньше ...
Konstantin Isaev 31 март 2014, в 14:34

Ещё вопросы

[SessionState(SessionStateBehavior.Required)] на ApiController делает ApiController дело (или .ReadOnly где это уместно).
@RomanStarkov Не удалось заставить это работать. Какую среду вы использовали? .NET Core?
@RomanStarkov MVC тогда? У меня проблемы с поиском.
Обновление: если ваши функции API читают из сеанса и не изменяют сеанс, было бы неплохо использовать IReadOnlySessionState вместо IRequiresSessionState. Это гарантирует, что сеанс не заблокирован во время обработки функции API.
не работает для меня в MVC 4 - route.RouteHandler даже не собственность для меня. @LachlanB, похоже, работает на меня.
Спасибо @bkwdesign за указание на решение MVC. Этот ответ относится только к веб-API.
Кажется, это не поддерживает атрибуты маршрута. Мысли?
Как указал bkwdesign, это больше не поддерживается. Однако есть способ определить поведение состояния сеанса для маршрута с помощью DataTokens: stackoverflow.com/a/34727708/1412787
@AxelWilczek, проблема метода bkwdesign заключается в том, что он использует Application_PostAuthorizeRequest. Если вы работаете с большим проектом, состоящим из множества страниц, обработчиков и методов веб-API, каждая страница пройдет через этот метод. Тим, ты прав, это не поддерживает маршрутизацию атрибутов. Я надеюсь найти решение.
Вы можете обойти это, используя [SessionState (SessionStateBehavior.ReadOnly)], если ваш метод читает только из сеанса.
Класс идентификации находится в NerdDinner_2.0 \ NerdDinner \ Models \ NerdIdentity.cs.
Это не работает для меня (в .NET 4). У меня никогда не было этого печенья. Это работает только если у вас включена FormsAuthentication?
cookie действительно генерируется после аутентификации через форму входа. Вы также можете настроить, как и когда он будет создан, см. Stackoverflow.com/questions/7217105 Но вам все еще нужен пользователь для эффективной аутентификации на веб-сервере.
Вопрос требует HttpContext.Current.Session, и этот ответ не дает четкого объяснения того, что необходимо сделать. Смотрите ответ @LachlanB.
Я не уверен в этом. В примерах Microsoft они показывают использование атрибута Authorize. Я пробовал это, и это работает с проверкой подлинности на основе форм. Веб-API знает о состоянии аутентификации, которое передается в куки-файле аутентификации по умолчанию.
Вот пример, на который я ссылаюсь: code.msdn.microsoft.com/ASPNET-Web-API-JavaScript-d0d64dd7 . Он использует новый веб-API на основе REST, реализующий проверку подлинности с помощью форм.
Я успешно использовал атрибут [Authorize], не нуждаясь в состоянии сеанса. Я просто написал обработчик сообщения аутентификации, чтобы установить личность.
Как сказал @Filip здесь: stackoverflow.com/a/11479021/538387 , давайте не будем идти по этому пути (добавляя сеанс в Web API, который должен быть без сохранения состояния). Но у того же Филипа есть хорошая статья о кешировании веб-API: goo.gl/2rnfI Я разветвлял его в gitHub и добавил еще несколько функций в исходный код, теперь он поддерживает отдельный кэш вывода для зарегистрированных пользователей: goo.gl/ oW4hX ПРИМЕЧАНИЕ. Я все еще совершенствую код и проверяю его на возможные нарушения безопасности.
@Метки. и Энтони Скотт - данные аутентификации ASP.NET поступают в cookie. Насколько мне известно, файлы cookie не нарушают принцип безгражданства RESTful. Также имейте в виду, что [Авторизация] работает только тогда, когда веб-страница и веб-API находятся на одном веб-сайте (домене). Он не работает в разных доменах (например, когда вы вызываете API Bing Map со своего веб-сайта). Сказав это, я все еще задаюсь вопросом, следует ли нам использовать [Authorize] или всегда ожидать «Authorization» в заголовке HTTP-запроса.
Отмеченный вами, потому что вы не предложили ответ на его проблему, и, более того, Web Api - это асинхронный фреймворк, который отлично работает с тяжелым веб-приложением ajax. Никто не говорил, что вы должны уважать все принципы дизайна RESTful, чтобы получить выгоду от использования инфраструктуры Web API.
Я согласен с Брайаном, хотя я не голосовал против. Интерфейсы RESTful - и, в частности, веб-API - обеспечивают простой и понятный подход к реализации веб-приложения на основе служб. Но, в конечном счете, я гораздо больше заинтересован в том, чтобы быть продуктивным, чем быть достаточно «чистым» в отношении REST.
@Метки. правильно сообщить, что веб-API не должен знать о состоянии сеанса. Отрицательный ответ до сих пор остается ответом. До голосования.
-1 Комментарий не должен быть ответом.
Сессия по-прежнему полезна для кэширования пользовательских реализаций IPrincipal, которые нужно поместить в текущий поток / контекст / приложение, в соответствии с «Бизнес-объектами C # 2008» Рокфорда Лотки. Но я согласен, сама логика API не должна требовать состояния сеанса.
Я не могу вспомнить ни одного приложения, основанного на сессиях, которое я когда-либо делал, которому никогда НЕ требовалась информация о сессиях в веб-интерфейсе. Конечно, если я сделаю REST-сервис полностью, полностью и всесторонне предназначенным только для выполнения, не предназначенного для пользователя, тогда точно. Я не голосовал против, но хотел. Ничего личного, я просто искренне не согласен. Попробуйте сказать то же самое утверждение (ОП) любому, кто пишет на любом другом веб-языке. Это еще одна сильная рука проблемы Microsoft.
Предупреждение! Это включит сеанс для ВСЕХ запросов. Это действительно может снизить производительность, если ваше приложение использует встроенные ресурсы.
@cgatian какое-нибудь альтернативное решение исправлено ?
Я думаю, что лучший подход - это то, что предлагает @Treyphor. Не включайте его для всех запросов. Просто маршруты, которые имеют "/ api" или что-то в URL. Также, если возможно, установите состояние сеанса только для чтения для ваших контроллеров API.
Это простейшее решение, но в коде есть несколько ошибок, так что оно на самом деле не работает. Я опубликовал другое решение, основанное на этом, не стесняйтесь редактировать свое, чтобы оно соответствовало моему.
Небольшое исправление в строке _WebApiExecutionPath должно считывать открытую статическую строку _WebApiExecutionPath = "~ / api";
Это прекрасно работает. Это сохраняет сеанс между запросами до тех пор, пока не истекло время ожидания. Не уверен, собираюсь ли я использовать его в prod, пока не найду хороший способ переключить состояние сеанса между обязательным и только для чтения, чтобы остановить блокировку запросов, но это дало мне начальный путь, который я желаю. Спасибо!
Что если приложение использует как MVC, так и WebAPI? Кроме того, некоторые вещи более целесообразно хранить на стороне сервера, например токены безопасности Sharepoint. Вместо того, чтобы реализовывать специальную оболочку для хранения токенов, такую как контейнер Azure BLOB-объектов, иногда целесообразно повторно использовать Session для данных этого типа. Контекст безопасности Sharepoint, реализованный в шаблоне приложения, использует сеанс для хранения этих контекстов безопасности, и передаются только небольшие фрагменты данных (тег сеанса) вместо нескольких килобайт данных. Было бы здорово, если бы этот контекст был меньше ...

Rocklan · Accepted Answer · 2013-07-09T03-36-00.000Z

MVC

Для проекта MVC сделайте следующие изменения (ниже приведены WebForms и Dot Net Core):

WebApiConfig.cs

public static class WebApiConfig
{
    public static string UrlPrefix         { get { return "api"; } }
    public static string UrlPrefixRelative { get { return "~/api"; } }

    public static void Register(HttpConfiguration config)
    {
        config.Routes.MapHttpRoute(
            name: "DefaultApi",
            routeTemplate: WebApiConfig.UrlPrefix + "/{controller}/{id}",
            defaults: new { id = RouteParameter.Optional }
        );
    }
}

Global.asax.cs

public class MvcApplication : System.Web.HttpApplication
{
    ...

    protected void Application_PostAuthorizeRequest()
    {
        if (IsWebApiRequest())
        {
            HttpContext.Current.SetSessionStateBehavior(SessionStateBehavior.Required);
        }
    }

    private bool IsWebApiRequest()
    {
        return HttpContext.Current.Request.AppRelativeCurrentExecutionFilePath.StartsWith(WebApiConfig.UrlPrefixRelative);
    }

}

Это решение обладает дополнительным бонусом, что мы можем получить базовый URL-адрес в javascript для создания вызовов AJAX:

_Layout.cshtml

<body>
    @RenderBody()

    <script type="text/javascript">
        var apiBaseUrl = '@Url.Content(ProjectNameSpace.WebApiConfig.UrlPrefixRelative)';
    </script>

    @RenderSection("scripts", required: false)

а затем в наших файлах/коде Javascript мы можем сделать наши вызовы webapi, которые могут получить доступ к сеансу:

$.getJSON(apiBaseUrl + '/MyApi')
   .done(function (data) {
       alert('session data received: ' + data.whatever);
   })
);

WebForms

Выполните вышеуказанное, но измените функцию WebApiConfig.Register, чтобы вместо этого выбрать RouteCollection:

public static void Register(RouteCollection routes)
{
    routes.MapHttpRoute(
        name: "DefaultApi",
        routeTemplate: WebApiConfig.UrlPrefix + "/{controller}/{id}",
        defaults: new { id = RouteParameter.Optional }
    );
}

И затем вызовите следующее в Application_Start:

WebApiConfig.Register(RouteTable.Routes);

Точечное сетевое ядро

Добавьте пакет Microsoft.AspNetCore.Session NuGet, а затем выполните следующие изменения кода:

Startup.cs

Вызовите методы AddDistributedMemoryCache и AddSession для объекта services в функции ConfigureServices:

public void ConfigureServices(IServiceCollection services)
{
    services.AddMvc();
    ...

    services.AddDistributedMemoryCache();
    services.AddSession();

а в функции Configure добавьте вызов UseSession:

public void Configure(IApplicationBuilder app, IHostingEnvironment env, 
ILoggerFactory loggerFactory)
{
    app.UseSession();
    app.UseMvc();

SessionController.cs

Внутри вашего контроллера добавьте оператор using вверху:

using Microsoft.AspNetCore.Http;

а затем используйте объект HttpContext.Session внутри вашего кода следующим образом:

    [HttpGet("set/{data}")]
    public IActionResult setsession(string data)
    {
        HttpContext.Session.SetString("keyname", data);
        return Ok("session data set");
    }

    [HttpGet("get")]
    public IActionResult getsessiondata()
    {
        var sessionData = HttpContext.Session.GetString("keyname");
        return Ok(sessionData);
    }

теперь вы можете поразить:

http://localhost:1234/api/session/set/thisissomedata

а затем переход к этому URL-адресу вытащит его:

http://localhost:1234/api/session/get

Больше информации о доступе к данным сеанса в ядре dot net: https://docs.microsoft.com/en-us/aspnet/core/fundamentals/app-state

Проблемы с производительностью

Прочтите Симона Уивера ниже, касаясь производительности. Если вы получаете доступ к данным сеанса в проекте WebApi, это может иметь очень серьезные последствия для производительности. Я видел, что ASP.NET обеспечивает задержку в 200 мс для одновременных запросов. Это может привести к катастрофическим последствиям, если у вас много одновременных запросов.

Проблемы безопасности

Убедитесь, что вы блокируете ресурсы для каждого пользователя - аутентифицированный пользователь не должен извлекать данные из вашего WebApi, к которому у них нет доступа.

Прочитать статью Microsoft об аутентификации и авторизации в веб-интерфейсе ASP.NET - https://www.asp.net/web-api/overview/security/authentication-and-authorization-in-aspnet-web-api

Прочитайте статью Microsoft об избегании атак хакеров на основе межсайтового запроса. (Короче говоря, ознакомьтесь с методом AntiForgery.Validate) - https://www.asp.net/web-api/overview/security/preventing-cross-site-request-forgery-csrf-attacks

Я получил ошибку в шаблоне RIS не существует. Я экстремальный n00b и не понимал, что вы должны заменить это на имя вашего проекта, если кто-то столкнется с этим
Извините за то, что Jameo, я обновил его, чтобы сказать ProjectNameSpace, так что это должно быть немного более очевидным.
Отлично. Все просто и работает. Для не MVC просто добавьте Application_PostAuthorizeRequest () в Global.ascx.cs.
Пожалуйста, смотрите мой ответ ниже, он расширяет ваше решение, чтобы также отправлять куки сессии как часть ответа при создании новой сессии. Я должен был это реализовать, потому что при использовании WebApi cookie читался, но изначально запрос не отправлялся обратно.
Спасибо @JCallico, я думаю, что большинство людей сначала заходят на страницу ASP.NET, которая создает сеанс.
Большое спасибо, отлично работает и для веб-форм!
Мне нужно было изменить функцию IsWebApiRequest (), чтобы она также возвращала значение true, если путь начинается с WebApiConfig.UrlPrefix, а также WebApiConfig.UrlPrefixRelative. Кроме этого, работает как ожидалось.
Это рекомендуемый способ сделать это? Является ли это просто заменой сеанса или поддерживает сеанс с любой страницы, вызывающей веб-API? Это вообще возможно?
Здесь сессия истекает по умолчанию 20 минут .. Я не могу переопределить через веб-конфигурацию
Так ваш метод Register не используется?
Одна вещь, чтобы упомянуть относительно этого исправления. при установке SessionStateBehavior в значение Required вы ставите узкое место в webapi, поскольку все ваши запросы будут синхронизированы из-за блокировок объекта сеанса. Вместо этого вы можете запустить его как SessionStateBehavior.Readonly. Таким образом, он не будет создавать блокировки на объекте сеанса.
Просто примечание: SessionId не совпадает, он меняется при каждом обновлении, не думайте, что ваш сеанс не используется совместно с вашим приложением mvc. :)
Будьте внимательны при установке поведения сеанса в состояние «Обязательно». Запросы с разрешениями на запись блокируют сеанс и предотвращают создание нескольких приложений Http для каждого клиента. Вы должны установить состояние сеанса на соответствующий уровень для каждого маршрута. Пожалуйста, обратитесь к моему ответу здесь: stackoverflow.com/a/34727708/1412787
Я не уверен, что понимаю. Я не использую сессии в моем Web.API 2, что означает, что вызовы всегда параллельны. В этом случае какой смысл использовать асинхронность в действии контроллера, поскольку каждый запрос делегируется другому потоку для выполнения в первую очередь?
Что касается узких мест синхронизации состояния сеанса: почти всегда следует заменить поставщика состояния сеанса по умолчанию на неблокирующего поставщика состояния сеанса. Есть несколько доступных решений. Они должны заменить существующего поставщика состояния сеанса на уровне модуля. Поставщик Angie's List хорош, но поменяйте местами библиотеку BootSleeve с поставщиком Redis от StackExchange. Люди чрезмерно обобщаются, говоря, что следует избегать государства, но думать о нем как о безопасной форме кэширования.
Сессия все еще нулевая, когда я использую это. Есть идеи почему? Попытка установить точку останова внутри Application_PostAuthorizeRequest вызывает исключение пустой ссылки при загрузке любой страницы.
Метод ДОЛЖЕН быть назван Application_PostAuthorizeRequest (), иначе произойдет вышеуказанная ошибка.

Доступ к сеансу с помощью ASP.NET Web API

12 ответов

MVC

WebApiConfig.cs

Global.asax.cs

_Layout.cshtml

WebForms

Точечное сетевое ядро ​​

Startup.cs

SessionController.cs

Проблемы с производительностью

Проблемы безопасности

Почему бы избежать использования сеанса в WebAPI?

Параллельные запросы и состояние сеанса

Ещё вопросы

Точечное сетевое ядро