ASP.Net: Si tengo la ID de sesión, ¿puedo obtener el objeto de sesión?

Question

Esta pregunta está relacionada con this one, aunque creo que estuve un poco extenuado para obtener una buena respuesta. Voy a mantener esto breve.

Estoy trabajando en un controlador web (ashx) que acepta una publicación de formulario desde una página aspx. Cuando el controlador recibe esta publicación del formulario, para hacer lo que necesita hacer, necesita conocer al usuario que inició sesión (User.Identity.Name), pero no puedo confiar en las cookies que envía el navegador.

Sé que puedo conseguir el Session.SessionID y colocarlo en un campo de formulario oculto, pero una vez que mi controlador recibe el formulario de envío, ¿cómo puedo usar esa SessionID de averiguar la identidad del usuario que ha iniciado sesión en?

Estoy usando el modo StateServer para el estado de la sesión.

Answer 1

Jonas registró una gran respuesta a esta pregunta aquí:

Can I put an ASP.Net session ID in a hidden form field?

Answer 2

creo que puede hacerlo implementará la interfaz IReadOnlySessionState en su HttpHandler

Answer 3

En una implementación HttpHandler o HttpModule, no siempre se puede tener acceso a la sesión del evento BeginRequest. Hay otro evento que puede manejar, llamado OnAcquireRequestState. Si escribe su código en ese evento, entonces HttpContext.Current.Session no será nulo.

Answer 4

A menos que sea necesario utilizar la sesión directamente, siempre puede almacenar la información sobre la identidad del usuario conectado en un diccionario singleton o caché y hacer referencia a ella a través del ID de sesión almacenado en un campo oculto. Personalmente, veo problemas de seguridad en esto, pero no entraré en eso. Consideraría emitir identidades de uso único para este tipo de implementación.