データを保存するためにセッションを使用していない場合でもsessionIdを保持しますか？

Question

こんにちは、

私はASP.NET MVC 2 Webサイトを構築し、いくつかのデータを現在のユーザー/セッションをバインドする必要がありますしています。次は可能な解決策ですが、ベストプラクティスは何ですか？

1. GUIDを作成し、それを非表示フィールドに設定すると、データはシェルトンオブジェクト（キャッシュなど）に保存されます。セキュリティは最高です（ユーザーは隠しフィールドの値を変更する可能性があります）。
2. Session.SessionIdを使用します。私は間違っているセッションに何かを格納する必要がある呼び出しの間に同じSessionIdを維持するために？ここにセキュリティ上の問題があるかどうかわからないのですか？

BestRegards

マイソリューション：私は現在のクライアントのGUIDを作成し、フォームの隠しフィールドとしてこれを設定することになりました。しかし私は隠しフィールドを正確にレンダリングするためにいくつかの問題を抱えていました。ASP.NET MVC 2 HiddenField is empty?

Answer 1

ウェブが本質的にステートレスであるため、ウェブリクエスト間で状態を維持することは常に困難です。

Cookieに隠されたGuid（または他のシステム一意の識別子）またはセッションIDを使用するかどうかは、どちらも悪用される可能性があります。つまり、「セッション状態」を実装するほとんどのシステムでは、Cookieを使用してシステムを実行します。

セッション状態 'バッグ'の目的は、あなたが言及した目的とまったく同じWebリクエスト間の情報を格納することです。間違っていると感じられるかもしれませんが、非常に一般的に受け入れられているアプローチです。実際のセッションデータではなく、セッションIDだけがクライアントブラウザに格納されていることを覚えておいてください。それはサーバーで保持されています。