Я реализую DotNetOpenAuth как для поставщика OpenId, так и для проверяющей стороны. В обоих случаях серверы находятся за балансировщиком нагрузки, поэтому для любого HTTP-запроса мы не можем предполагать, что попадем на один и тот же сервер.
Похоже, что DotNetOpenAuth зависит от сеанса до сохранить ожидающий ключ запроса. Поскольку сервер может переключаться между запросами, мы не можем зависеть от стандартного сеанса InProc. К сожалению, нам не удалось успешно внедрить SQL в качестве хранилища для сеанса.
Мой вопрос: безопасно ли хранить PendingAuthenticationRequest в качестве клиентского файла cookie? Хуже, чем использование Session?