ASP.NETでフォーム認証を使ってアクセス制限をかけていますが、
Webサーバーの前段にバランサーを入れることになりました。(Webサーバーは複数台)
フォーム認証に通ったユーザーには認証済みのクッキーが発行されますが、
アクセスの度に、処理するWebサーバーは(バランサーが入って居るから)変わりうるわけで、
認証済みということをWebサーバーによっては知らない危険性がある(クッキー発行元のWebサーバーに
偶然リクエストが振られない限り、うまく動作しなくなるのでは?)と考えました。
セッションはsessionStateを(Webサーバー間で共通の)SQLServerに逃がして対応していますが、
フォーム認証では、このあたりの問題はどうすればよいのでしょうか?
あるいは、そもそもサーバー側ではセッションのように誰が認証済みか否か云々の情報は持っておらず
protectionなど(クッキーの正当性チェック?周り)にさえ、気をつければよいのでしょうか?(認証済みか否かの判別は、単にクライアントからのクッキーに基づくのでしょうか?)
(googleっていて、サーバー側には個々の認証済み情報は持っていない、と思わしき情報も見かけたのですが、自信がありません...)
よろしくお願いいたします。
magmag
