我正在为OpenId提供者和依赖方实现DotNetOpenAuth。在这两种情况下,服务器都在负载平衡器后面,所以对于任何HTTP请求,我们都不能认为我们会碰到同一台服务器。网络农场上的DotNetOpenAuth
看来,DotNetOpenAuth depends on the Session存储未决的请求密钥。由于服务器可能会在请求之间发生变化,因此我们不能依赖标准的InProc会话。不幸的是,我们无法成功实现SQL作为Session的存储。
我的问题是:将PendingAuthenticationRequest存储为客户端cookie是否安全?比使用Session更糟糕吗?