防止定期ajax调用重置会话超时

Question

在我的ajax MVC应用程序中，有一个定期的ASP.NET调用来获取当前用户的新通知。但是，此调用将重置当前会话的空闲超时，导致会话永远不会过期。这是一个安全风险。如何防止某些端点调用重置空闲超时？

Answer 1

ASP中的会话状态由SessionMiddleware来维护，设计相当简单。我将省略加载会话的开始部分，您会对下一个中间件调用以这种方式包装的部分感兴趣。

try
{
    await _next(context); //Here are all other middlewares executed
}
finally
{
    context.Features.Set<ISessionFeature>(null);

    if (feature.Session != null)
    {
        try
        {
            await feature.Session.CommitAsync(); //Here your session is commited and prolongated
        }
        catch (OperationCanceledException)
        {
            _logger.SessionCommitCanceled();
        }
        catch (Exception ex)
        {
            _logger.ErrorClosingTheSession(ex);
        }
    }
}

因此，如果您正在以只读方式访问会话，那么当您正在访问您的定期端点时，您就不能提交它，您可以从HttpContext context中找出它。如果您阻止执行提交会话的代码块，它将不会在IDistributedCache中放置新条目，更新它的滑动过期，并且会话将保持不变。

您还必须编写类似SessionMiddlewareExtensions类，其中定义了UseSession扩展方法，并提供您自己的实现来注册您的自定义中间件。