ASP.Net - Какова текущая лучшая практика для отслеживания переменных состояния и сеанса?

Question

Мы создаем новое потребительское / общедоступное веб-приложение ASP.Net. Есть две проблемы:

- Использовать проверку подлинности с использованием файлов cookie или форм без файлов cookie?

- Если мы решим вообще не использовать куки, как вы будете хранить данные, которые в противном случае будут храниться в куки (идентификатор клиента, AffiliateID и т. Д.) Отслеживает ли структура аутентификации ASP.Net что-то вроде CustomerID?

Answer 1

Для обычного веб-приложения нет веских оснований использовать аутентификацию без файлов cookie - страх перед файлами cookie прекратился около десяти лет назад.

Для реальных данных объект сеанса, как правило, является лучшим выбором, чем отдельные файлы cookie. Файл cookie сеанса - это одно значение, которое эффективно дает вам ключ к любым данным сеанса, которые вы сохранили на сервере. В определенных специализированных случаях возникают проблемы с использованием сеанса, например, при развертывании на нескольких серверах, но для большинства приложений это просто и адекватно.

Стандартная система проверки подлинности форм отслеживает имя пользователя - обычно этого достаточно, чтобы найти все необходимые данные из вашей базы данных, если вы не хотите сохранять что-либо в сеансе.

Answer 2

Если вы делаете аутентификацию, куки - это обычный метод. В наши дни очень редко люди отключают куки, потому что от них уже зависит так много сайтов.

Сказав это, ASP.NET поддерживает аутентификацию без файлов cookie. По сути, он просто добавляет маркер аутентификации в качестве параметра в URL. Он анализирует все исходящие URL-адреса, чтобы убедиться, что они также содержат информацию о токене. Лично я не стал бы беспокоиться об этом и просто потребовал бы куки. Есть несколько дополнительных проблем при попытке избежать использования файлов cookie (например, это может сделать SEO намного сложнее, потому что поисковые системы будут видеть разные URL каждый раз, когда сканируют страницу).