Hallo Mitleser,

Gängige Praxis ist es allerdings heutzutage, die Session in einem Cookie zu speichern und den Inhalt zu verschlüsseln und zu signieren, so dass einerseits zwar der Client immer die Session-Daten liefert aber er andererseits auch nicht daran herum manipulieren kann. Die gängigen größeren Web-Frameworks handhaben das alle so.

Inwiefern löst das denn das Problem der Zuordnung?

Silvios Problem ist, dass das alte[tm] Session-Handling die Session-Daten in Dateien geschrieben hat, die dann bei einer Software, die auf mehrere Server verteilt ist, nicht auf allen Servern zugänglich ist. Das Problem gibt es bei dem Ansatz Session-Daten im Cookie nicht mehr: dort sind die Session-Daten im Cookie und werden vom Client bei jedem Request erneut an den Server gesendet. Der muss den Cookie nur noch entschlüsseln und die Signatur überprüfen, und schon sind alle Session-Daten verfügbar.

Oder willst Du auf Sticky Sessions hinaus?

Nein.

LG,
CK