Tôi đang triển khai DotNetOpenAuth cho cả nhà cung cấp OpenId và một bên dựa vào. Trong cả hai trường hợp, các máy chủ nằm phía sau bộ cân bằng tải, vì vậy đối với bất kỳ yêu cầu HTTP nào, chúng tôi không thể giả định rằng chúng tôi sẽ nhấn cùng một máy chủ.DotNetOpenAuth trên trang trại web
Dường như DotNetOpenAuth depends on the Session để lưu trữ khóa yêu cầu đang chờ xử lý. Bởi vì máy chủ có thể thay đổi giữa các yêu cầu, chúng tôi không thể phụ thuộc vào Phiên InProc chuẩn. Thật không may, chúng tôi đã không thể triển khai thành công SQL làm cửa hàng cho Phiên.
Câu hỏi của tôi là: an toàn để lưu trữ PendingAuthenticationRequest là cookie của khách hàng? Còn tệ hơn là sử dụng Session?