セッションの代わりにhmacベースのクライアントデータ検証を使用しますか？

Question

セッションの原則は、対応するセッションIDを持つユーザーだけがアクセスできるサーバー側にデータを保存することです。

データには、クライアントとの関係でプライベートまたはパブリックの2種類があります。セッションはもちろん、公共のアクセスのためにプライベートです。

私は通常、ユーザーIDといくつかのランダムなデータを格納しています（具体的な例はありません）。

私はセッションを全く使用しないことを考えています。代わりに、ユーザーが送信したデータの有効性をチェックする関数を使用します。サーバーには、ユーザーデータをハッシュするために使用するプライベートキーがあります。

たとえば、ユーザーがid = 9999を持つ場合、通常、ユーザーはセッションIDに関連付けられたファイルに格納します。クライアントがリクエストを行うたびに、セッションIDを確認し、それに関連付けられたセッションファイルからデータを取得します。

私はクライアント側でセッションデータを保存することを考えており、クライアントが要求を行うたびにこのデータとデータのハッシュを送信します。

ユーザーがログインすると、ユーザーは資格情報を送信し、サーバーはそのIDにタイムスタンプとユーザーIDと秘密キーに基づいて計算されたハッシュを返します。 今後のリクエストに対して、サーバーは同じ機能を使用し、結果のハッシュが同じ場合、セッションは有効であり、データは事前​​に検証されています。

セッションを置き換える有効な方法ですか？ サーバープライベートセッションデータを保存しない以外に何か欠点がありますか？

私はスピードに関係だったと私は、私はノートPC（インテルデュオ）上でこれを実行しました

Script took 5.246542930603 seconds 

を印刷し、小さなテスト...

<?php 

$session = array(
    'userId' => 999, 
    'timestamp' => time() 
); 
$privateKey = 'da39a3ee5e6b4b0d3255bfef95601890afd80709'; 

$startTime = microtime(true); 

for ($i = 0; $i < 1000000; $i++){ 
    $hash = hash_hmac('sha1', json_encode($session), $privateKey); 
} 

echo 'Script took ' . (microtime(true) - $startTime) . ' seconds'; 

を...作りました。 これは手頃な時間です（0.000005247 /ハッシュ）。 テストは正しいですか？

EDIT：セッションの有効期限を保証するために、タイムスタンプがユーザーIDとともにハッシュされます。サーバー側では、セッションが有効であっても、それが古すぎるとしても期限切れと見なすことができます。

プライベートキーを使用してタイムスタンプとともにデータをハッシュしているのであれば、実稼働環境で使用することができますか？私はいくつかの欠点を考えることができ

Answer 1

...

1. すべてのクッキーデータを要求遅くなって、各HTTPリクエストに転送されます。
2. ユーザーはすべてのデータを見ることができます。
3. ハッシュの有効性を確認する必要があるため、 またはスペースがどれだけ節約されているか分かりません。
4. ハッシュをリバースエンジニアリングすることができます（つまり、何らかのプライベートキー暗号化を使用していない）場合、ユーザーは何かを送信することができ、それが有効であると言います。
5. リバースエンジニアリングができないハッシュがある場合は、生成が多少遅くなる可能性があります。秘密鍵を使用していると言いますので、これが当てはまります。ソリューションがうまく拡張できない可能性があります。
6. あなたが何をしたのか不思議に思った後、誰でもこのコードを維持しなければなりません。

Answer 2

これについての唯一の良いことは、sessiond_idを覚えておく必要がないことです。それはあまりにも多くの仕事です。私はそれがViewStateと呼ばれているかどうかはわかりませんでしたが、最終的に圧縮されたデータをクライアント側の隠しフィールドにすべて格納しました。おそらく、暗号化の代わりに圧縮を使用することをお勧めしますか？それはあいまいさによるセキュリティです。