Web authentication state-Session vs Cookie?

Problem z preferowaniem sesji nad plikami cookie dla "bezpieczeństwa" polega na tym, że sesje używają plików cookie do identyfikacji użytkownika, więc każdy problem z plikami cookie jest obecny z sesjami.

Jedną z rzeczy, o których należy pamiętać przy użyciu sesji, jest lokalizacja danych. Jeśli planujesz skalować do więcej niż jednego serwera www w dowolnym momencie, musisz być bardzo ostrożny, przechowując duże ilości danych w obiektach sesji.

Ponieważ używasz. NET, będziesz musiał napisać własnego dostawcy sklepu sesji aby sobie z tym poradzić, ponieważ InProc nie będzie skalował po 1 serwerze, dostawca DB jest całkowicie złym pomysłem (chodzi o to, aby unikać odczytów DB podczas skalowania, a nie dodawać więcej), a StateServer ma wiele problemów z pojemnością. (W przeszłości korzystałem z dostawcy memcached session store z pewnym sukcesem, aby zwalczyć ten problem).

Poszukam w google podpisanych plików cookie i przyjrzę się ich używaniu zamiast zwykłych plików cookie lub sesji. Rozwiązuje wiele problemów związanych z bezpieczeństwem i usuwa problemy lokalowe z sesjami. Pamiętaj, że przychodzą i z powrotem na każde żądanie, więc przechowuj dane oszczędnie.

Nie wiem, czy jest to najlepszy sposób, aby to zrobić, ale jesteśmy zadowoleni ze sposobu, w jaki to robimy.

Mamy niestandardowy obiekt użytkownika, który tworzymy, gdy użytkownik uwierzytelni się, następnie używamy sesji do utrzymywania tego obiektu w całej aplikacji.

W niektórych aplikacjach łączymy to z wykorzystaniem plików cookie w celu ciągłego przedłużania sesji.

Pliki cookie i sesje same w sobie nie są naprawdę wystarczające. Są to narzędzia do śledzenia użytkownika i tego, co robi, ale naprawdę musisz pomyśleć o użyciu bazy danych do utrzymywania informacji o użytkowniku, które można również wykorzystać do zabezpieczenia aplikacji.

Sesje to ciasteczka...