即使不使用session存储数据也要保留sessionId吗？

Question

嗨，

我正在构建一个 ASP.NET MVC 2 网站，需要将当前用户/会话绑定到一些数据。以下是可能的解决方案，但最佳实践是什么？

1. 创建一个 GUID 并将其设置为视图中的隐藏字段，然后数据将保存在单个对象中（如缓存）。然而，安全性并不是最好的（用户可以更改隐藏字段的值）。
2. 使用Session.SessionId。为了在调用之间保持相同的 SessionId 我需要在会话中存储一些东西，这感觉不对吗？我不确定这里是否存在任何安全问题？

BestRegards

我的解决方案： 我最终为当前客户创建了一个 GUID，然后将其设置为表单上的隐藏字段。然而，我确实遇到了一些问题，无法正确渲染隐藏字段，请参阅： ASP.NET MVC 2 HiddenField 为空？

Answer 1

跨 Web 请求维护状态始终是一个挑战，因为 Web 本质上是无状态的。

无论您使用隐藏的 Guid（或其他系统唯一标识符）还是 cookie 中的会话 ID，两者都容易被滥用。也就是说，大多数实现“会话状态”的系统都是通过使用 cookie 来实现的。

会话状态“包”的目的是在网络请求之间存储信息，这正是您提到的目标，因此虽然它可能感觉“错误”，但它是一种非常普遍接受的方法。请记住，客户端浏览器仅存储会话 ID，而不是实际的会话数据；这是在服务器上保存的。