webforms 세션 값을 MVC 베어러 토큰에 저장해야합니까?

Question

이전 작업 (ASP.NET webforms)에서 HttpContext.Current.Session 개체를 사용하여 현재 사용자 세션에 대한 보안 관련 사용자 데이터를 보관했습니다.

Session("userID") = 4525 
Session("customerId") = 123 
Session("importantValue") = "ABC" 

WebAPI 2에서 상당히 많은 것을 배웠으므로 이제 MVC를 배우기 시작합니다. 나는 끊임없이

Synchronization and overhead

Session pollutes HTTP

Application collision

AppPool recycling

1. Session 그 및/또는 HttpContext.Current이 MVC로 피해야한다 읽고 ... ...하지만이 아니다 있어요 간단한 대안에 선명도가 많이. 어떤 사람들은 TempData을 사용한다고 말하지만 다른 쿠키는 단점을 가지고 있습니다.

   내 응용 프로그램이 데이터베이스가 많아서 모든 요청에 ​​대해이 값을 다시 읽으려면 데이터베이스에 손을 대지 않는 것이 좋습니다. WebAPI2에는 쿠키로 직렬화되는 전달자 토큰이 있습니다. Identity 토큰이이 데이터를 보관할 수있을만큼 안전하고 사용자 조작 (SSL을 통해 사용되는 경우)을 방지합니까?

Answer 1

남자, "세션 대신에 TempData 사용"아이디어가 어디서 왔는지 모르겠지만 소스를 추적하고 둔탁한 개체로 쳤습니다. TempData은 세션입니다. 후드 아래에서 세션 저장소를 사용합니다. 유일한 차이점은 당신이 거기에 둔 데이터가 다음 요청에 대해서만 살아남을 것이며, Session에 위치한 데이터는 세션이 만료 될 때까지 살아남는다는 것입니다. 그렇지 않으면 은 정확히 동일한 것입니다..

그런데이 문제를 둘러싼 논쟁이 많으며 많은 부분이 잘못되어 혼란이 더욱 심해질 것입니다. 논쟁의 요지는 세션이 꽤 끔찍한 일이라는 것입니다. 그러나 국가의 개념을 추가해야하는 경우에는 대안이 없습니다.

HTTP를 프로토콜로 사용하는 경우 무국적입니다. 각 요청은 이전 또는 이후 다른 요청의 영향을받지 않는 고유 한 엔터티입니다. 웹 API는 언급 한 이후 REST의 지침에 따라 세션을 사용하지 않으므로 "REST 호환"이라고합니다. 그리고 REST는 HTTP 이후에 모델링되며 상태도 저장되지 않습니다. 그러나 이것은 결국 실생활이며 인증 요청과 같은 작업을 수행해야합니다. 결과적으로 auth 토큰 같은 것들은 요청 쿼리 문자열이나 본문 또는 HTTP 헤더를 통해 전송됩니다. 전통적인 세션은 거의 같은 방식으로 작동하므로 여전히 "세션"이라고 주장합니다. 요청, 세션 ID가있는 "토큰"을 전달하고 서버가이를 사용하여 사용자를 동일한 클라이언트로 인식합니다. 이전 요청

사람들이 세션에 대해 논쟁을 할 때 세션 자체에 대한 논쟁이 아니라 세션 자체의 개념에 대해 논쟁하는 것이 아니라 실제로 사용/남용되는 방식에 대해서도 말합니다. 다시 논쟁.

다른 사람들은 세션 대신 Redis 나 다른 NoSQL 옵션을 사용하는 것이 좋다고 주장했지만, 세션이 아니라 세션 에 대해서 논쟁하고 있습니다.

개인적으로 을 사용하는 한, MVC 프로젝트에서 Session을 사용하는 데는 아무런 문제가 없습니다. 그것은 인증 된 사용자와 같은 것들에 대한 상태를 만들기에 좋습니다. 사이트에서 새 페이지를 요청할 때마다 다시 로그인해야 할 필요가 있습니다. 그것 이외에, 나는 꽤 많이 혼자두고 간다. 실제로는 이 여러 요청에 걸쳐 유지되어야하는 몇 가지 사항이 있습니다.