兄弟，你这问题典型得不能再典型了——就是静态变量全局共享搞的鬼！你的Role.userRole应该是个静态字段吧？Web应用是多线程处理请求的，所有用户共用同一个静态变量，后登录的用户（比如学生B）会直接覆盖之前用户（教师A）的角色值，等A刷新页面时，服务器读到的已经是B的角色，自然就跳错页面了。

问题根源 #

你在Startup.Auth.cs里给静态的Role.userRole赋值，这个变量是全局唯一的，不属于任何单个用户会话。只要有新用户登录，就会把这个全局值改成自己的角色，之前的用户自然就“被换角色”了。

推荐解决方案（按优先级排序） #

1. 用Claims绑定角色（最贴合OAuth2身份认证设计，强烈推荐）

既然你用了Microsoft OAuth2，直接把角色加到用户的认证票据（Claims）里是最优解，每个用户的认证信息都是独立加密存储的，根本不会串：

• 在登录逻辑中，获取到用户角色后，把它作为Claim添加到身份认证对象：

  // 假设你已经从数据库拿到了当前用户的userName和userRole
  var claims = new List<Claim>
  {
      new Claim(ClaimTypes.Name, userName),
      new Claim(ClaimTypes.Role, userRole) // 把角色加入Claims
  };
  
  var identity = new ClaimsIdentity(claims, CookieAuthenticationDefaults.AuthenticationScheme);
  var principal = new ClaimsPrincipal(identity);
  
  // 登录，把票据写入Cookie
  await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, principal);
  

• 后续判断角色时，直接通过User对象获取（Controller、View里都能用）：

  // 在Controller中示例
  public IActionResult Index()
  {
      if (User.IsInRole("Teacher"))
      {
          return RedirectToAction("TeacherDashboard");
      }
      else if (User.IsInRole("Student"))
      {
          return RedirectToAction("StudentDashboard");
      }
      return View();
  }
  

这种方式不仅安全（Claim加密存储在Cookie里，篡改难度大），还完全贴合ASP.NET身份认证的体系，不用自己维护会话状态。

2. 用Session存储角色（适合简单场景）

如果暂时不想改Claims逻辑，也可以把角色存在当前用户的Session里，Session是每个用户独有的：

• 首先确保你的应用启用了Session，在Startup.cs里配置：

  public void ConfigureServices(IServiceCollection services)
  {
      services.AddSession(options =>
      {
          options.IdleTimeout = TimeSpan.FromMinutes(30); // 设置会话超时时间
          options.Cookie.HttpOnly = true;
          options.Cookie.IsEssential = true;
      });
      // 其他服务配置...
  }
  
  public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
  {
      // 注意中间件顺序，Session要放在UseRouting前面
      app.UseSession();
      app.UseRouting();
      // 其他中间件...
  }
  

• 登录成功后，把角色和用户名存入Session：

  Session["UserRole"] = userRole;
  Session["UserName"] = userName;
  

• 需要判断角色时，从Session读取：

  var currentRole = Session["UserRole"] as string;
  var currentUserName = Session["UserName"] as string;
  
  if (currentRole == "Teacher")
  {
      return RedirectToAction("Teacher");
  }
  

3. 把Role类改成Scoped服务（备选方案）

如果一定要保留Role类的结构，那就把它从静态改成非静态，注册为Scoped服务（每个请求创建一个独立实例）：

• 修改Role类为非静态：

  public class Role
  {
      public string UserRole { get; set; }
      public string UserName { get; set; }
  }
  

• 在Startup.cs里注册为Scoped服务：

  public void ConfigureServices(IServiceCollection services)
  {
      services.AddScoped<Role>();
      // 其他服务...
  }
  

• 登录时，获取当前请求的Role实例并赋值：

  var role = HttpContext.RequestServices.GetService<Role>();
  role.UserRole = userRole;
  role.UserName = userName;
  

• 在Controller里通过构造函数注入使用：

  public class HomeController : Controller
  {
      private readonly Role _currentUserRole;
  
      public HomeController(Role currentUserRole)
      {
          _currentUserRole = currentUserRole;
      }
  
      public IActionResult Index()
      {
          if (_currentUserRole.UserRole == "Teacher")
          {
              return RedirectToAction("TeacherDashboard");
          }
          // ...
      }
  }
  

总结 #

优先选Claims方案，它和你的OAuth2认证完全适配，是最规范的做法；Session方案简单直接，适合快速修复；Scoped服务方案适合必须保留原有类结构的场景。

内容的提问来源于stack exchange，提问作者AxelSariel