Это - превосходный подход для простых, масштабируемых, и устойчивых сессий. Конечно, качество Вашего crypto важно, и это часто - что-то, что часто оказывается хитрым для разбираний, но возможно сделать.
я не соглашаюсь с некоторыми из других плакатов:
Любая атака с повторением пакетов, которая может быть запущена против зашифрованного значения cookie, может быть запущена против сеансового ключа, сохраненного как cookie. Используйте https, если это имеет значение.
данные Сессии, хранившие в сервере состояния или базе данных, также потеряны, если cookie очищен; когда сеансовый ключ потерян, сессия больше не может получаться.
Другая ловушка - то, что они могут быть украдены и воспроизведены на Вашем сайте.
BTW: Вместо того, чтобы хранить некоторый материал в cookie, необходимо также посмотреть на хранение ключа в cookie, и использование чего-то как memcached (memcached работает через фермы сервера).
Хорошо обычно cookie используется для идентификатора сессии, поэтому, пока объем информации является небольшим, это был бы хороший вариант хранить информацию в cookie, хотя Вы не должны хранить ничего значения (как числа CC, SSN, и т.д.) должен действительно быть сохранен в cookie, даже если зашифрованный.
я не эксперт, но по моему опыту я нашел, что следующее верно (по крайней мере, использующий PHP и ASP.NET).
Cookie
Сервер состояния / DB