Web アプリケーションの「セッション ID」について教えてください。
次のうちどれが一番いいと思いますか?
- 以下を含むセッション ID:
{ data: { user_id: ???, auth_user_agent: ???, auth_ip, ???, expires: unix_time }, signature: { "data's signature" } }
暗号化してから base64ed => ユーザーに送信 - キャッシュ内のデータを参照するランダム セッション ID
- データベース内のデータを参照するランダム セッション ID
ここでパフォーマンスとセキュリティを見ています。
肝心なのは、どちらが優れているか(署名の復号化と検証)、キャッシュからの取得、データベース接続の実行、データの取得などです。