使用 cookie 或 http 会话变量存储会话以获得可扩展的解决方案？

Question

我有一个网络应用程序，它在登录过程中将 userId 存储在 http 会话变量中（当然是在确认之后！）。除了这个变量之外，我没有使用任何会话变量来检索有关用户的信息。我不知道这对我来说是否是最具可扩展性的解决方案。我的服务器是否为此预留了内存？使用 cookie 更好吗？

Answer 1

如果您使用多个应用程序服务器（现在或将来），我相信 http 会话变量取决于用户所在的服务器（如果我错了，请纠正我），所以在这种情况下，您可以找到一个“粘性会话”解决方案将用户锁定到特定服务器（例如 EC2 的负载均衡器提供此功能：http://aws.amazon.com/about-aws/whats-new/2010/04/08/support-for-弹性负载平衡中的会话粘性/）。

我建议使用 cookie（假设我上面的逻辑是正确的），但您应该确保对此采取某种安全措施，以便用户无法更改其 cookie 并获得对其他用户帐户的访问权限。例如，您可以使用密钥和用户 ID 对某个字符串进行哈希处理，您可以在服务器端检查该字符串以确认其未被篡改。