Para una aplicación web, el lado del cliente es javascript en el navegador. El lado del servidor es ASP.NET con una API REST. Actualmente, hay un solo servidor, pero planeamos escalarnos con un servidor en los EE. UU., Reino Unido y AUS (en Azure). Tendremos redis (pero eso no se sincroniza instantáneamente). Ellos (casi) siempre estarán usando SSL.
Cuando un usuario inicia sesión, nosotros lo autentificamos. Es fácil pasar la clave principal de ese registro de usuario en la base de datos y, en las llamadas posteriores, pasar esa PK para identificar al usuario. También es muy fácil personificar a cualquier usuario.
¿Cuál es la mejor manera de implementar esto? Las dos cosas que he pensado son:
- Devuelva un guid y solicite ese guid en todas las llamadas posteriores.
- Almacene el PK en los datos de la sesión en el lado del servidor y utilícelo para identificar al usuario en todas las llamadas subsiguientes.
Los dos anteriores funcionan si una sesión existente continúa yendo al mismo servidor (lo cual creo que sí) para cada solicitud posterior.
Entonces, ¿cuál es la mejor manera de hacer esto? Cualquiera de los dos anteriores? ¿O hay otro enfoque que sea mejor?
gracias - dave