ユーザー ID、ユーザー名、電話番号、電子メールなどの安全なユーザー情報を保存する必要がある MVC3 アプリケーションを構築しています。私の調査では、httpcontext オブジェクトを使用しているだけでなく、ユーザー オブジェクトをセッション状態に格納している人もいます。
Session["User"] = user;
ユーザーオブジェクトに保存されている以前のデータ。Session[""] と HttpContext オブジェクトの違いは何か、また、これらのメソッドのいずれかがこのデータを安全に保存する方法であるかどうか疑問に思っています。
ご感想ありがとうございます!
HttpContext.Current.Itemsは、リクエストごとのストアです。他のユーザーはアクセスできません。
セッションはUSERストアごとです。リクエストごとにそのユーザーのセッションIDごとにセッションがロックされるため、パフォーマンスが低下します。そのため、重複するリクエストでは、オブジェクトが使用可能になるのを待つ際にパフォーマンスの問題が発生する可能性があります。
セッションの場合、誰かがセッションIDを盗み(ネットワーク上のsniifs)、そのセッションをハイジャックしない限り、両方を他のユーザーが利用することはできません。それでも、トレースページがない限りデータにアクセスできませんが、それを盗んで認証トークンを形成できれば、悪意のあるユーザーが別のユーザーとしてページを閲覧できる可能性があることに注意してください(一例として)