Web身份验证状态 - 会话 vs Cookie？

使用“会话”而非“Cookie”来作为安全机制的问题在于，会话也需要使用Cookie来识别用户，因此如果出现了与Cookie相关的任何问题，那么同样也存在于会话中。
使用会话时需要特别注意数据局部性。如果您计划随时扩展到多个Web服务器，则需要非常小心地将大量数据存储在会话对象中。
由于您正在使用.NET，基本上必须编写自己的会话存储提供程序来处理这个问题，因为InProc无法扩展到超过1个服务器，DB提供程序是完全错误的想法（整个重点是在扩展时避免DB读取，而不是增加更多），而StateServer存在许多容量问题。（过去，我使用memcached会话存储提供程序解决过这个问题）。
建议查找签名cookie并考虑使用它，而不是普通cookie或会话。它解决了许多安全问题，并消除了会话的局部性问题。请注意，它们在每个请求之间来回发送，所以请谨慎存储数据。

没有一种完美的方法。如果将其存储在Cookie中，您可能会受到Cookie被盗的批评。如果将其存储在会话中，您可能会受到会话劫持的批评。

个人而言，我倾向于认为会话更加可靠，因为客户端上仅存储会话密钥，而实际数据则保存在服务器上。如果这样说可以的话，它会稍微保密一些。但是，这只是我的偏好，一个优秀的黑客仍然能够绕过不良安全性。

无论您做什么，都不要尝试自己实现它。您会搞错的。请使用您特定平台提供的身份验证系统。您还需要确保有足够的安全预防措施来保护身份验证令牌。

我不知道这是否是最好的方法，但我们对我们的方法感到满意。

我们有一个自定义用户对象，在用户进行身份验证时实例化该对象，然后使用Session在整个应用程序中维护此对象。

在某些应用程序中，我们将其与使用Cookie结合使用以持续扩展会话。

Cookies和Sessions本身并不足够。它们是用来跟踪用户及其行为的工具，但您真正需要考虑使用数据库来持久化有关用户的信息，还可以用于保护应用程序。

会话是Cookies...