标签: c# asp.net-mvc-4 session-state
我正在开发一个项目,我必须与我无法控制的Web服务进行交互。该服务不支持任何类型的基于令牌的身份验证。不幸的是,我们的用例要求用户在与我们的网站交互时在不同时间点与服务进行交互。安全问题使得我无法在会话中存储用户凭据。关于在这种情况下使用会话状态,我有一些问题。具体来说,会话状态如何存储复杂对象?如果我在会话中存储整个连接对象(包括凭据),是否存在会话危害可能导致攻击者获得实际凭据的风险?