asp.netのシステムでログオン認証機能を十分活用するためのアドバイスをお願いしま...

ttkai00さん

> Logon.aspxで得たログオンＩＤをセッション変数に保持し、これが他画面側でNothingに判断されたら初期画面Logon.aspxに遷移してしまう

一般的な Web アプリケーションの作り方だと思います。ASP.NET にはもっと便利な機能はありますが（後述）、それを使わずに作るのなら、そういう機構にするのが普通でしょう。

> このロジックを全画面にいれなければならない

もちろんそれでもよいのですが、面倒なので global.asax でリダイレクトさせるのがよいと思います。

> ファイル－新規作成－ウィンドウ
> (中略)
> こういった甘さはしょうがないものと考えるべきでしょうか？

これは基本的にどうしようもないと思います。（方法がないとも言いませんが、面倒です。）ただ、私はこれが甘いとは思いません。これを行ったユーザーは「ログオンを介していない」わけではなく、ログオンを行ったユーザーのはずです。そのユーザーが新しいウィンドウを開いたというだけですから。「一ユーザ一ブラウザの使用を確立する」こと自体に、あまり意義を感じません。1ユーザーが複数のブラウザを使ってもよいと思います。その方が便利な場面もあるでしょうし。（この知恵袋もそうなっていると思います。）

念のため補足しておくと、セッション（厳密にはセッションIDを保存しているクッキー）は「ファイル－新規作成－ウィンドウ」の操作でコピーされているわけではありません。クッキーはブラウザのウィンドウごとではなく、ブラウザのアプリケーション自体で管理しています。

以下の手順を試してみるとわかると思います。以下のようなページ構成と仮定して説明します。

[ログインページ]
login.aspx
[ログインしていないとアクセスできないページ]
aaa.aspx

(1) IEを開いて、関係のないページを開いておく。
(2) (1) とは別のIEを開いて login.aspx からログインする。
(3) (2) で開いたIEを閉じる。
(4) 新しいIEのウィンドウを開いて aaa.aspx にアクセスする。

おそらく、(4) でセッションのチェックをしていたとしても、すり抜けると思います。(3) の後、IEをすべて終了させると、(4) で引っかかります。IE がすべて終了した時点で（有効期限の切られていない）クッキーは消滅するからです。


最後に、ASP.NET には認証機能付きのサイトを作るための多くの仕組みが用意されています。本来はそちらを使う方がよいと思います。こちらについては、参考になりそうなページを紹介しておきます。

http://hatsune.wankuma.com/(S(pi0bcc55zoldzfqdvlzhrs45))/vb/auth/au...