以保持会话状态数据的方式与认证Cookie保持联系

Question

我正在开发一个基本上是数据库代理的ASP.NET MVC 3应用程序。要登录，用户必须提供他们的数据库用户和名称。 （我知道使用数据库用户作为应用程序用户并不是一个好主意，但我没有设计数据库，所以不要责怪我。）

当我的用户登录时，我想存储在会话变量中的用户名和密码：

Session["UserID"] = TheConnectionStringBuilder.UserID; 
Session["Password"] = TheConnectionStringBuilder.Password; 

然而，会话状态不固定绑定到身份验证cookie，并稍后可能会造成问题。有没有办法保持会话状态数据的方式，以保持与身份验证cookie的关联？

Answer 1

其中一种方式可能是使用配置将会话状态超时与身份验证超时匹配。例如，

<authentication mode="Forms"> 
<forms timeout="30" /> 
</authentication> 

<sessionState timeout="31" /> 

另一种方法是将存储凭证到一些持久性存储（如文件）标记有一些生成的密钥，然后保持身份验证Cookie此键。但是，我觉得这是一个关于做事的方式，我宁愿采用会话方式。

由于某种原因，如果您在会话中找不到用户标识/密码（例如，应用程序池回收），则可以强制用户重新登录（使用FormsAuthentication.SignOut后跟RedirectToLoginPage）。