Aquí lo que quiero decir con los dos:
Autenticación de sesión : Estado de "autenticado" almacenado en una variable de sesión.
Autenticación de cookies : el estado "es autenticado" almacenado en una cookie protegida del genio por HMAC.
Pregunta : ¿Hay alguna ventaja de una manera en comparación con la otra desde un punto de vista de seguridad?
La mejor razón por la que parece encontrar el enfoque de cookies es que el servidor tiene que almacenar menos datos, que no están relacionados con la seguridad.
Notas adicionales
Digamos que me dices que usar la autenticación de cookies es mejor ...
He visto tantas aplicaciones web que utilizan autenticación de cookies pero no las vinculo con la sesión. Es un problema porque almacenan la información del usuario como su acceso en la sesión. Por lo tanto, puede crear un ataque simple como el inicio de sesión en su propia cuenta que apenas tiene permiso, luego robar la cookie de sesión de un administrador y luego hacerse pasar por él.
Con eso, me refiero a que, independientemente de la fuerza que haya tenido el esquema basado en cookies en el enfoque de la sesión, simplemente la perdió (debido a una mala gestión de la sesión). En un escenario como el anterior, un enfoque basado en cookies no tiene nada de seguridad.