私が理解していることから、ServiceStack の認証を使用する場合、通常はセッションの開始時に認証し、サーバー側のセッションを認証済みとしてマークします。後続の Web サービス要求はそのセッション ID を使用するため、再認証は必要ありません。(これまでのところ間違っている場合は修正してください)。
新しいセッション ID の生成は、 SessionExtensions.csのGuid.NewGuid() を使用して実行されますが、これは暗号学的に幻想的な値を生成しません。RNGCryptoServiceProviderを使用するなど、暗号的に安全な値を使用するように切り替えない理由はありますか?
アップデート:
実際、もう少し考えてみると、ASP.NET はセッション ID を使用してリクエスターが認証されていることを確認しません。これは、マシン キーで暗号化され、ハッシュされた FormsAuthenticationTicket を使用します ( ASP.NET 2.0 のプロセスの説明はこちら)。
私はセキュリティの専門家ではないので、ASP.NET Forms Auth によって提供されるセキュリティのレベルとランダム値によって提供されるセキュリティのレベルを比較した場合、これがどのような意味を持つのかわかりません。それはすべてキーとデータの長さに帰着すると思います...しかし、フォーム認証でブルートフォース攻撃を仕掛けるのに必要な時間は、乱数のヒープ全体を試すだけでなく、おそらくはるかに長くなりますか?