為什麼我的會話狀態在ASP.NET Core中不工作了？

原文：Why isn’t my session state working in ASP.NET Core? Session state, GDPR, and non-essential cookies

作者：Andrew Lock

譯文：https://www.cnblogs.com/lwqlun/p/10526380.html

譯者：Lamond Lu

在本篇部落格中，我將描述一個關於會話狀態(Session State)的問題， 這個問題我已經被詢問了好幾次了。這個問題的場景如下：

• 建立一個新的ASP.NET Core應用程式

• 一個使用者在會話狀態中設定了一個字串值，例如HttpContext.Session.SetString("theme", "Dark");

• 在下一次請求中，嘗試從會話中讀取這個自字串的值HttpContext.Session.GetString("theme");, 但是得到的結果卻是null!

• “額，這個愚蠢的框架不工作了”(╯°□°）╯︵ ┻━┻

這個問題的原因是ASP.NET Core 2.1中引入的GDPR功能與會話狀態互相影響了。在本篇部落格中，我將描述為什麼你會看到這種行為，以及一些處理它的方法。

GDPR中ASP.NET Core 2.1中引入的一個特性，如果你使用NET Core 1.x或2.0版本，你將不會遇到這個問題。但是請記住，自2019年6月27起，1.x版本即將失去支援，2.0版本已經不受支援了，因此你應該考慮升級到2.1及以上版本。

說明：

• 《通用資料保護條例》（General Data Protection Regulation，簡稱GDPR）為歐洲聯盟的條例，前身是歐盟在1995年制定的《計算機資料保護法》。

• 2018年5月25日，歐洲聯盟出臺《通用資料保護條例》。

ASP.NET Core中的會話狀態

就像我前面所說的，如果你使用的是ASP.NET Core 2.0及以前的版本，你不會遇到這個問題。這裡我將藉助ASP.NET Core 2.0展示一下預期的行為，以便說明遇到這個問題的人期望的會話狀態行為。然後我將在ASP.NET Core 2.2中建立等效的應用程式，並顯示會話狀態不再起作用了。

什麼是會話狀態？

會話狀態是一種可以回溯到ASP.NET（非核心）的功能，你可以使用它為瀏覽站點的使用者儲存和檢索伺服器端的值。 會話狀態經常在ASP.NET應用程式中廣泛使用，但經常由於一些原因而出現問題，主要是效能和可伸縮性。

ASP.NET Core中的你應該把會話狀態看作針對每使用者的快取。 從技術角度來看，ASP.NET Core中的會話狀態的功能需要2個獨立的部分來完成：

• 一個Cookie。 用來指定每個使用者的唯一ID（Session ID）

• 一個分散式快取。用來儲存與每個使用者唯一ID關聯的資料項

在一般的情況下，我會儘量避免使用會話狀態，使用會話狀態可能會有很多陷阱，如果不註意，就會引起一起不必要的問題。例如：

• 會話是針對每個瀏覽器的，而不是每個登入使用者的

• 會話結束的時候，應該刪除會話Cookie，但可能不會

• 如果會話中沒有任何值，它將會被刪除，並重新生成一個新的會話ID

• 本文中即將描述的GDPR問題

這裡我們講解了什麼是會話狀態，以及其工作的原理。在下一節中，我將建立一個小程式，這個小程式會使用會話狀態儲存你訪問過的頁面，然後在首頁上顯示該串列。

在ASP.NET Core 2.0專案中使用會話狀態

為了說明ASP.NET Core 2.0版本和2.1以上版本的行為變化，我將先建立一個ASP.NET Core 2.0專案，因為我的電腦上安裝了許多.NET Core SDK, 這裡我將使用2.0 SDK(版本號2.1.202)來構建一個2.0專案模板。

這裡我們首先建立一個global.json, 將當前app目錄的SDK版本固定為2.1.202版本。

dotnet new globaljson --sdk-version 2.1.202

然後使用dotnet new命令建立一個新的ASP.NET Core MVC 2.0應用程式

dotnet new mvc --framework netcoreapp2.0

會話狀態預設情況下是沒有啟用的，所以這裡你需要先新增必要的服務。我們修改Startup.cs檔案ConfigureServices方法來新增會話服務。預設情況下，ASP.NET Core將使用記憶體來儲存會話資訊，這對於測試來說很友好，但是生產環境中可能就需要替換為其他方式。

public void ConfigureServices(IServiceCollection services)
{
    services.AddMvc();
    services.AddSession(); // add session
}

當然，只新增服務是沒有用的，我們還需要在管道中註冊會話中介軟體。只有註冊在會話中介軟體之後的中介軟體才可以訪問會話狀態，所以你需要將會話中介軟體放在MVC中介軟體之前。

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    // ...其他配置
    app.UseSession();
    app.UseMvc(routes =>
    {
        routes.MapRoute(
            name: "default",
            template: "{controller=Home}/{action=Index}/{id?}");
    });
}

對於這個簡單的例子，我將使用會話金鑰”actions”來儲存並讀取一個字串型別的會話值，這個會話值中會儲存你訪問過的所有頁面。當你在不同的頁面間瀏覽時，我們會將你訪問過的頁面以分號分隔的形式儲存在”actions”會話值中。現在我們更新HomeController的程式碼：

public class HomeController : Controller
{
    public IActionResult Index()
    {
        RecordInSession("Home");
        return View();
    }

    public IActionResult About()
    {
        RecordInSession("About");
        return View();
    }

    private void RecordInSession(string action)
    {
        var paths = HttpContext.Session.GetString("actions") ?? string.Empty;
        HttpContext.Session.SetString("actions", paths + ";" + action);
    }
}

註意：Session.GetString(key)是Microsoft.AspNetCore.Http名稱空間中的一個擴充套件方法。

最後，我們修改Index.cshtml頁面的程式碼如下，在頁面中顯示當前”actions”的會話值

@using Microsoft.AspNetCore.Http
@{
    ViewData["Title"] = "Home Page";
}

    @Context.Session.GetString("actions")

如果你現在執行應用程式並瀏覽幾次，你將看到會話頁面訪問歷史串列的構建。 在下麵的示例中，我訪問了主頁三次，關於頁面兩次：

如果檢視當前頁面關聯的Cookie資訊，你就會看到一個名為.AspNetCore.Session的Cookie, 它的值就是一個加密會話ID， 如果你刪除這個Cookie, 你將會看到”actions”的值被重置，頁面訪問歷史串列丟失。

這種會話狀態的行為就是大部分人所期望的，所以這裡沒有問題。但是當你使用ASP.NET Core 2.1/2.2版本建立相同專案之後，情況就不一樣了。

在ASP.NET Core 2.2專案中使用會話狀態

為了建立ASP.NET Core 2.2應用程式，我使用了幾乎相同的行為，但這次我沒有固定SDK。 我安裝了ASP.NET Core 2.2 SDK（2.2.102），因此以下命令會生成一個ASP.NET Core 2.2 MVC應用程式：

dotnet new mvc

這裡你依然需要顯示註冊會話服務，並啟用會話中介軟體，這一部分程式碼和前面一模一樣。

與以前的版本相比，較新的2.2模板已經簡化，因此為了保持一致性，我從2.0應用程式複製了HomeController。 我還複製了Index.chtml，About.chtml和Contact.cshtml檢視檔案。 最後，我更新了Layout.cshtml，為標題中的About和Contact頁面添加了連結。

這2個應用程式，除了使用的ASP.NET Core版本不一樣，其他的部分基本都是一樣的。然而這次執行的時候，當你瀏覽一些頁面之後，首頁只會顯示你訪問過首頁，而不會顯示你訪問過其他頁面。

不要點選隱私政策的橫幅 – 後面你將馬上知道原因

 

現在如果你去檢視一下你的Cookies, 你會發現加密會話ID.AspNetCore.Session不存在。

一切都顯然配置正確，並且會話本身似乎也在工作（因為可以在Index.cshtml中成功檢索HomeController.Index中設定的值）。 但當頁面重新載入，或者在導航之間跳轉的時候，沒有儲存會話狀態。

那麼為什麼會話狀態在ASP.NET Core 2.0中正常工作， 在ASP.NET Core 2.1/2.2中反而沒有正常工作了呢？

到底發生了什麼？GDPR

問題的原因，是因為ASP.NET Core 2.1版本之後，引入了一些新功能。為了幫助開發人員遵守2018年生效的GDPR規則，ASP.NET Core 2.1版本引入了一些擴充套件點，以及模板的更新。

針對這些新功能的官方檔案寫的都很詳細，這裡我只做簡單總結：

• 同意Cookie對話方塊 – 預設情況下，在使用者點選同意對話方塊之前，ASP.NET Core不會將“非必要”的cookies寫入響應中

• Cookie可以被設定為必要或者非必要的 – 無論使用者是否同意，必要的Cookies都會傳送給瀏覽器，非必要的Cookies需要得到使用者的同意

• 會話Cookie被認為是非必要的 – 因此，在使用者同意之前，無法跨導航或頁面重新載入跟蹤會話。

• 臨時資料(Temp Data)是非必要的 – ASP.NET Core 2.0以上版本中，臨時資料提供器使用Cookie來儲存資料項，所以在使用者同意之前，臨時資料功能是不可用的

所以問題是我們需要使用者同意使用Cookie。 如果單擊隱私橫幅上的“Accept”，則ASP.NET Core可以編寫會話cookie，並恢復預期的功能。

如何在ASP.NET Core 2.1及以上版本中使用會話狀態

根據你正在構建的程式，你可以使用多種選項。哪一個最適合你取決於你的使用場景，但是請註意，這些功能是為了幫助開發人員遵守GDPR而新增的。

如果你不在歐洲國家，或者你認為GDPR對自己沒有什麼影響，最好請閱讀一下https://andrewlock.net/session-state-gdpr-and-non-essential-cookies/ – GDPR可能依然適用於你

這裡主要的可選項如下：

1. 在使用者同意Cookie之前，接受該會話狀態可能不可用。

2. 在使用者同意Cookie之前，禁用需要會話狀態的功能。

3. 禁用Cookie同意功能

4. 將會話Cookie標記為必要的

我將在下麵詳細介紹每個選項，請記住考慮你的選擇可能會影響你是否遵守GDPR！

接受當前的行為

“最簡單”的選擇就是接受現有的行為。 ASP.NET Core中的會話狀態通常只應用於臨時資料，因此你的應用程式需要能夠處理會話狀態不可用的情況。

這取決於你使用會話的目的，可能可以實現或可能不能實現，但這是使用現有模板的最簡單方法，並且將你接觸GDPR問題方面風險降到了最低。

禁用需要會話的功能

第二種選擇和第一種選擇類似，應為你需要保持現有的行為。區別在於第一種選項會將會話簡單的視為快取，因此你始終需要假設會話值是可以讀取和儲存的。而第二種選項略有不同，因為你需要明確知道系統中哪些部分是需要會話狀態的，併在使用者同意Cookie之前，禁用它們。

例如， 你可以需要一個會話狀態儲存當前頁面選擇的主題。如果使用者沒有同意Cookie, 那麼你只需要隱藏主題選擇的功能。只要使用者同意，再將它顯示出來。

這感覺就像是針對選擇一的改進，因為它主要改善了使用者體驗。如果你不考慮哪些功能是需要會話的，使用者可能會產生一些疑惑。例如，如果你使用選項一，使用者在切換主題的時候，程式永遠不會記住它們的選擇，這就很讓人沮喪。

禁用Cookie同意功能

如果你確定不需要Cookie同意功能，你也可以很容易的禁用它。 預設模板在Startup.ConfigureServices中顯式啟用了Cookie同意功能。

public void ConfigureServices(IServiceCollection services)
{
    services.Configure<CookiePolicyOptions>(options =>
    {
        options.CheckConsentNeeded = context => true;
        options.MinimumSameSitePolicy = SameSiteMode.None;
    });

    services.AddSession(); // added to enable session
    services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);
}

這裡CheckConsentNeeded屬性是一個標記，它用於檢查是否應將非必要的cookie寫入響應。 如果函式傳回true（如上所述，模板中的預設值），則跳過非必要的cookie。 將此更改為false並且會話狀態將起作用，而不需要使用者明確同意cookie。

標記會話Cookie是必要的

完全禁用cookie同意功能可能會對你的應用程式造成一定的負擔。 如果是這種情況，你可以將會話cookie標記為必要。

services.AddSession的多載方法，允許你傳入一個會話配置物件。你可以使用它設定會話的超時時間，以及自定義會話Cookie。為了將會話Cookie標記為必要的，我們需要顯式配置IsEssential的值是true。

public void ConfigureServices(IServiceCollection services)
{
    services.Configure<CookiePolicyOptions>(options =>
    {
        options.CheckConsentNeeded = context => true; 
        options.MinimumSameSitePolicy = SameSiteMode.None;
    });

    services.AddSession(opts => 
    {
        opts.Cookie.IsEssential = true; 
    });
    services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);
}

使用這種方法，雖然應用程式依然會顯示Cookie同意橫幅，並且在點選之前不會寫入非必要的Cookie。 但會議狀態將在使用者同意Cookie之前立即生效，因為它被認為是必要的。

總結

在這篇文章中，我描述了一個曾經多次被問過問題。開發人員發現他們的會話狀態沒有正確儲存。 這通常是由於ASP.NET Core 2.1中引入的Cookie同意和非必要cookie的GDPR功能引起的。

我展示了一個問題的實體，以及它在2.0 app和2.2 app之間的區別。 我描述了會話狀態如何依賴於預設情況下被認為是非必要的會話Cookie，因此在使用者同意Cookie之前不會寫入響應。

最後，我描述了處理這種行為的四種方法：

• 什麼也不做，接受它

• 禁用依賴會話狀態的功能，直到同意為止

• 取消同意要求

• 標記會話Cookie為必要的Cookie。

哪種選擇最適合你將取決於你正在構建的應用程式，以及你對GDPR和類似法規的認識。