今回は asp.net において一つの Web サーバー上で複数の Web プロジェクトのサイトを実行する際に、セッションが全て同じになってしまい、例えばエンドユーザー向けのサイトでログアウトすると、管理サイトでもログアウトしてしまうような問題が発生しましたので、その解決方法についてご紹介いたします。
この問題はそもそも asp.net で標準のフォーム認証 ( FormAuthentication ) を実装していれば発生し得ない事象なのですが、技術力の無い外部のベンダーさんが作成するとフォーム認証すら実装されておらず、落胆しました。
ともかく、全てのサイトでログアウトされてしまうことも問題ですが、そもそもセッション自体が共有されてよい場合と、悪い場合がありますので、そこはプログラム側でコントロールしたいですね。
前提条件
・Windows 7 Professional 以降 / Windows Server 2008 R2 以降
・Visual Studio 2010 Professional 以降
・VB.NET
・.Net Framework 4.0 以降
1.原因
asp.net デフォルトでは クッキーにセッションIDを保存するようになっていますが、そのクッキー名が ASP.NET_SessionId となっており、どのようなWebサイトを作成してもサーバーが同じだと、全て同一のセッションになってしまうからです。それはセッションの管理方法が InProc や StateServer 等に関わらず、IIS のアプリケーションプールを分けても効果が無く、全て同じセッションになってしまします。
2.対応方法
Web.config の設定に cookieName を追加します。cookieName を追加することによりサイト毎にセッションを分けることができます。セッションを分けたいサイトの Web.config だけを書き換えることで対応が可能です。
Web.config
<configuration>
<system.web>
<sessionState
mode="InProc"
stateConnectionString="tcp=127.0.0.1:42424"
stateNetworkTimeout="10"
sqlConnectionString="data source=127.0.0.1;Integrated Security=SSPI"
sqlCommandTimeout="30"
customProvider=""
cookieless="false"
regenerateExpiredSessionId="false"
timeout="20"
cookieName="MyWebSite_SessionId"
sessionIDManagerType="SessionHijackTest.Models.CustomSessionIDManager, SessionHijackTest" />
</system.web>
</configuration>
※sessionIdManagerType については次回の記事「セッションIDを変更する方法」でご紹介いたします。
Webサイトを実行し、Chrome でF12を押下し、Application > Cookie から現在有効なセッションIDを確認できます。デフォルトの Cookie 名が変更されて、Web.config で指定した名称に変更になっています。
最後までお読みいただきありがとうございます。
いかがでしたでしょうか。他にも asp.net に関連する記事を投稿しておりますのでよろしければご参考くださいませ。
- 関連記事
-