Tengo una aplicación que actualmente mantiene algunas propiedades del perfil de un usuario en el almacenamiento de la sesión para que la aplicación la use cuando sea necesario. No mantenemos datos confidenciales como nombre de usuario o contraseña o SSN en el almacenamiento de la sesión, pero sí mantenemos propiedades como la rama del usuario allí. Y la aplicación utiliza la información de la rama para cargar ciertos datos, mientras excluye otros datos. Por ejemplo, si la rama de un usuario es "Nueva York", entonces cargamos datos relevantes a esa rama.
Para aclarar aún más, esta es una aplicación interna, detrás de una VPN, por lo que solo los empleados la usarán. Y les permitimos cambiar temporalmente su sucursal en la aplicación misma si, por ejemplo, están en la sucursal de Nueva York pero quieren ver datos de Los Ángeles.
¿El uso de almacenamiento de sesión como este se considera una práctica razonable, o algo como esto debe almacenarse siempre en algo como el almacenamiento de JavaScript? Tengo un colega que parece pensar que esto definitivamente no debería estar en el almacenamiento de sesión, pero no estoy seguro de que ese sea el caso aquí. ¿Se considera esto un importante no-no en este tipo de caso de uso? ¿O podría considerarse un uso razonable del almacenamiento de sesión?