Session实际上是如何在MVC中工作的？

Question

我对MVC4中的会话管理有点困惑。

可以说，我输入了用户名和密码并单击登录按钮。 然后在服务器端，我从HttpContext.Current.Session获得SessionId。然后我正在验证该数据库的用户凭据。如果用户有效，则在Session中添加SessionId，userName和uiserId。

可以这样说，下次请求来自同一台机器和同一浏览器时，我得到了相同的SessionId，然后允许该用户访问其他信息。

现在我以下的问题：

1. 如何服务器来知道请求是来自同一个浏览器，并从同一台机器来的？
2. 我发现SessionId对于不同的浏览器是不同的，但是对于同一台浏览器在不同的机器上是一样的，所以如果我从machine1和google chrome登录，那么是否有可能为不同的浏览器使用相同的会话？会话将可用于具有相同浏览器的不同机器。是否有可能？）
3. 服务器如何理解请求是针对登录的同一用户？
4. 在asp.net会话由viewState维护，但视图状态不在MVC中使用，那么MVC中使用了什么？

Answer 1

首先，我建议阅读有关HTTP会话的this Wikipedia article。对你的问题的答案：

1. 每个请求的客户端在任何一个cookie 或查询字符串发送其SessionId。
2. 这应该是不可能的默认情况下。但可以通过session hijacking完成。
3. 服务器读取由问题1中的客户端发送的SessionId。服务器维护例如键值数据对象，以便它可以为给定的SessionId加载正确的数据。
4. ASP MVC不使用视图状态，因为它与ASP.NET完全不同。有关更多信息，请参阅this question。