Передача идентификатора сеанса - не единственный и не лучший способ поддерживать разговорное состояние. Лучший способ, если у вас есть RIA, - это поддерживать состояние самого клиента , где он принадлежит, как предлагают некоторые комментарии. Это означает, что по-прежнему отправлять учетные данные каждый запрос.
Повторная аутентификация при каждом запросе является единственным способом, и если вы чувствуете, что на сервере наблюдается снижение производительности, сервер может (как предполагается) кэшировать результат запроса на проверку подлинности в течение определенного периода. времени. Дайджест-проверка подлинности может помочь избежать кэширования ответов путем криптографической подписи токенов, проходящих по проводам.
Если этого недостаточно, вы можете использовать что-то похожее на Google ClientLogin и предоставить клиенту зашифрованный токен, который можно проверить, не запрашивая авторизацию и не передавая реальные учетные данные пользователя через провод. Сами по себе Google, выполнив вход в систему через https, а затем используя сгенерированные токены через http. Он открыт для повторных атак на весь срок действия токена.