使用Cookie进行Web会话状态 - 有哪些缺陷？

使用过程中的会话状态是邪恶的,当涉及到缩放的Web应用程序(不群发挥出色,炸弹出来的时候服务器回收).

假设你只需要保持的少量信息在会话状态,什么是使用加密的Cookie项用于此目的,而不是特定状态的服务器/数据库的的缺点？

显然使用cookie会产生少量的网络开销,显然你是在假设客户端浏览器/移动设备上启用了cookie的情况下运行的.

您可以通过方法看到其他哪些陷阱？

对于简单,可扩展且强大的会话,这是一个很好的选择吗？

这是一种简单,可扩展且强大的会话的绝佳方法.当然,加密的质量很重要,而且往往证明这一点很难实现,但这是可能的.

我不同意其他一些海报:

可以针对存储为cookie的会话密钥启动可以针对加密的cookie值启动的任何重放攻击.如果这很重要,请使用https.

如果cookie被清除,存储在状态服务器或数据库中的会话数据也将丢失; 当会话密钥丢失时,无法再检索会话.