Hasta cierto punto, puede descargar el estado en los clientes. Codifica los derechos de acceso de un usuario en un blob al que agrega un MAC computado con una clave secreta de servidor. El blob-con-MAC se envía al cliente. Más tarde, el cliente vuelve y muestra el blob; el servidor verifica el MAC y, por lo tanto, se asegura de que el blob sea legítimo. Esto se asigna razonablemente bien en las cookies HTTP. Posiblemente, el blob podría contener algunos datos encriptados (de nuevo con una clave simétrica solo para el servidor) si el servidor desea almacenar algunos datos relacionados con el usuario sin hacerlos visibles para el usuario.
Los problemas comienzan cuando desea revocar o cambiar los derechos. No se puede evitar que un cliente muestre una burbuja obsoleta. Esto puede solucionarse utilizando una combinación de fechas de vencimiento (el blob contiene una fecha y es válida para, por ejemplo, una semana) y, si es necesario, listas de revocación (el servidor conoce una lista de blobs que debe rechazar, incluso si su MAC se ve bien, esto es un estado, pero no mucho porque la gran mayoría de los derechos de acceso no son revocados).
Si la entidad que emite los derechos de acceso (la que crea el blob) y la entidad que verifica los derechos de acceso (la que verifica el MAC) no son las mismas, entonces debe reemplazar el MAC con un esquema de firma digital .