Мы создаем трехуровневое веб-приложение с ASP.NET MVC посередине. Мы используем комбинацию прямых MVC и WebAPI для быстрого реагирования. Внутренние данные защищаются с использованием службы токенов .ASP.NET MVC 4 WebAPI - нормально ли использовать состояние сеанса для защищенных ресурсов?
Наша цель - запросить новый токен для каждого пользователя, подключившегося к системе. Хотя все жетоны будут сгенерированы с использованием той же комбинации пользователей и паролей, мы полагали, что это даст хотя бы некоторую трассируемость, если мы сможем связать токен с именем пользователя и сеансом.
Мы сохраняем сгенерированный токен в состоянии сеанса для простоты и гибкости. Нам нужно будет требовать состояние сеанса даже для вызовов WebAPI, чтобы мы могли получить доступ к этому токену для вызовов WebAPI. Перед доступом к ресурсам REST нам требуется аутентификация.
Я прочитал много сообщений на SO, которые заставляют это звучать, как будто это плохой подход. Каковы альтернативы ? и что было бы реальным ограничения этого решения?
Заранее благодарен за ввод
Состояние сеанса может храниться в базах данных, а настройка довольно проста. http://msdn.microsoft.com/en-us/library/ms178586(v=vs.100).aspx –
@RayCheng - Что это связано с компрометацией файла cookie сеанса? –
@MystereMan, если мы используем авторизацию и другие параметры управления состоянием сеанса (например, State Server или SQL Server), будут ли они адресовать ваши 2 основных момента (безопасность и переработка процесса)? –