ASP.NET по умолчанию использует файлы cookie сеанса для отслеживания пользовательских запросов. Если вы используете сеансы Cookie, вы обнаружите, что идентификатор сессии добавляется во все запросы браузера. Во многих случаях это также может быть неприемлемым.
Даже если вы решите обратиться к базе данных и проверять флаг «LoggedIn» при каждом запросе, вам все равно потребуется какой-то способ определить входящий запрос как принадлежащий определенному пользователю. Это может быть в виде зашифрованных значений в скрытых полях, в зависимости от вашего сценария безопасности. Тем не менее, это не намного лучший метод, чем использование файлов cookie, потому что любые данные, которые приходят от клиента, могут быть подделаны.
Лично я считаю, что файлы cookie отлично подходят для отслеживания пользовательских запросов, если вы правильно их шифруете.