asp.netcoresession丢失问题排查

       最近公司采用asp.net core的站点在外测环境中，总是发现存在session丢失的情况。排查了好久，客户端.AspNetCore.Session的COOKIE未丢失，session的分布式缓存采用的redis主从复制也未发现问题，也想用COOKIE的变通解决方案，但是没解决根本问题，总是觉得如鱼梗在喉的不爽。后来在排查的过程中，发现同一个客户端通过nginx居然有时候会负载到不同的网站服务器上，检查过nginx，是通过ip_hash进行转发的啊，迷惑不解之际，公司的运维一语破的，原来公司是采用双线路由器的。于是猜测，是否因为存储COOKIE加密的key存在不同服务器上所导致。

       打开微软的Session的源码，先查看SessionMiddleware中间件的代码，其中有以下的关键源码：

var COOKIEValue = context.Request.COOKIEs[_options.COOKIEName];
var sessiOnKey= COOKIEProtection.Unprotect(_dataProtector, COOKIEValue, _logger);
if (string.IsNullOrWhiteSpace(sessionKey) || sessionKey.Length != SessionKeyLength)
{
// No valid COOKIE, new session.
var guidBytes = new byte[16];
CryptoRandom.GetBytes(guidBytes);
sessiOnKey= new Guid(guidBytes).ToString();
COOKIEValue = COOKIEProtection.Protect(_dataProtector, sessionKey);
var establisher = new SessionEstablisher(context, COOKIEValue, _options);
tryEstablishSession = establisher.TryEstablishSession;
isNewSessiOnKey= true;
}

sessionKey是从客户端的COOKIE中解密出来的，其中COOKIEProtection的_dataProtector来自
?

将系统默认注入的IDataProtectionProvider扒出来：

发现IDataProtectionProvider为Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingProvider，该IDataProtectionProvider的keyManager为

Microsoft.AspNetCore.DataProtection.KeyManagement.XmlKeyManager。

果然不出所料，key存在单机上，打开微软的DataProtection-dev源码查看FileSystemXmlRepository中获取Key存储路径的实现：

眼尖的发现项目下面就有一个将key持久化到redis的实现：

添加相应的nuget包，修改ConfigureServices方法：

services.AddDataProtection()
.PersistKeysToRedis(ConnectionMultiplexer.Connect(redisConnection), dataProtectionKey);

终于完美解决！在采用分布式存储session的时候，最好将dataProtectionProvider的key也进行共享，否则如果做了ip_hash负载均衡，客户端ip一变，可能负载到另外一台服务器，导致存储session的COOKIE数据解密不出来从而获取不到session！