在扩展Web应用程序时使用进程内会话状态是不好的(在集群中不能很好地发挥作用,在服务器回收时会爆炸).
假设您只需要在会话状态中保留少量信息,那么为此目的使用加密cookie项目的缺点是什么,而不是特定的状态服务器/ db?
显然,使用cookie会产生少量的网络开销,显然你是在假设客户端浏览器/移动设备上启用了cookie的情况下运行的.
您可以通过方法看到其他哪些陷阱?
对于简单,可扩展且强大的会话,这是一个很好的选择吗?
这是一种简单,可扩展且强大的会话的绝佳
方法.
当然,加密的质量很重要,而且往往证明要做到这一点很棘手,但这是可能的.
我不同意其他一些海报:
可以针对存储为cookie的会话密钥启动可针对加密的cookie值启动的任何重放攻击.如果这很重要,请使用https.
如果cookie被清除,存储在状态服务器或数据库中的会话数据也将丢失;当会话密钥丢失时,无法再检索会话.