首先得明确你遇到的核心问题：静态变量是应用级别的共享资源，整个IIS应用池里的所有用户都会共用iRISConstants里的静态字段——当第二个用户登录时，会直接覆盖第一个用户设置的UserID和SessionID，这就是多用户登录出现异常的根本原因。

为什么静态变量不能存用户特定数据？ #

静态变量的生命周期和整个应用程序域（AppDomain）绑定，只要应用池不回收，它就会一直存在，而且所有请求线程都会访问同一个实例。这种特性适合存全局配置（比如系统默认参数），但绝对不能用来存用户专属的信息——完全违背了用户数据隔离的需求。

正确的用户特定数据维护方案 #

根据你的场景（登录后需要在后续事务中传递UserID和SessionID给存储过程），推荐以下几种方案，按优先级排序：

1. 利用身份认证的Claims（最推荐）

ASP.NET MVC的身份认证系统本身就支持将用户核心信息嵌入到Claims中，这些信息会随Cookie（或Token）在请求中传递，既安全又符合框架设计：

登录成功时的代码修改：

// 从数据库获取用户数据后
var claims = new List<Claim>
{
    // 用标准的NameIdentifier存储UserID，也可以自定义类型
    new Claim(ClaimTypes.NameIdentifier, row["UserID"].ToString()),
    // 自定义Claim存储SessionID
    new Claim("SessionID", row["SessionID"].ToString())
};

// 创建身份认证标识
var identity = new ClaimsIdentity(claims, "ApplicationCookie");
// 登录用户
await HttpContext.SignInAsync(identity);

后续需要使用时，在Controller或视图中直接从User对象获取：

// 获取UserID
var userId = User.FindFirst(ClaimTypes.NameIdentifier)?.Value;
// 获取SessionID
var sessionId = User.FindFirst("SessionID")?.Value;

// 调用存储过程时传入这两个值

这种方案的优势是：数据和用户身份绑定，不需要手动管理存储，而且默认是加密的，安全性高。

2. 使用Session（传统但直接）

Session是ASP.NET专门为用户会话设计的存储机制，每个用户有独立的Session容器：

登录成功时存储数据：

// 存入Session
Session["UserID"] = row["UserID"].ToString();
Session["SessionID"] = row["SessionID"].ToString();

后续使用时读取：

var userId = Session["UserID"]?.ToString();
var sessionId = Session["SessionID"]?.ToString();

注意：需要确保你的MVC项目已启用Session（默认启用，但.NET Core需手动配置），另外Session有过期时间，可以在web.config（.NET Framework）或Program.cs（.NET Core）中调整。

3. 请求级存储：HttpContext.Items

如果你的UserID和SessionID只需要在单个请求周期内使用（比如从登录Action到后续的一个服务调用），可以用HttpContext.Items，它的生命周期只限于当前请求：

登录成功时存储：

HttpContext.Items["UserID"] = row["UserID"].ToString();
HttpContext.Items["SessionID"] = row["SessionID"].ToString();

后续在同一个请求的其他地方读取：

var userId = HttpContext.Items["UserID"]?.ToString();
var sessionId = HttpContext.Items["SessionID"]?.ToString();

总结 #

绝对不要用静态变量存储用户特定数据！根据你的业务场景，优先选择Claims（和身份认证集成），其次是Session（跨请求持久化），请求级的场景用HttpContext.Items。

内容的提问来源于stack exchange，提问作者santhosh