这几天做了一个东东是关于用户管理的，里面用了不少的Session，但是现在老在为Session提心。各位发表一下自己对Session的看法及安全性相关的意见。

我的Web.config设置为10分钟自动关闭，并且每次用完以后我都有关闭对话。并且现在用的是服务器线程。也想请问一下，这种方法是否安全…………对用户的密码，采用了MD5码的加密。

以前在ASP下的时候有不少漏洞，所以现在有点怕怕。

恩，刚刚改掉了，现在就是在登录面完成以后转入密码验证页面用Session传送一次密码，验证完成以后马上就关掉。然后只用Session保存用户名和权限。不过我老感觉用来存权限好像………………安全性也不怎样，我现在已经设置为关掉Cookie了，直接就是在服务器进程记录Session正在想别的方法，各位帮忙想想。我有个想法，能不能把所有的值存到xml里，然后再读出来…………不过这样相对效率会很差…………

没办法，一定要传送，因为有好几个模块，这里只是其中的一个模块，负责总模块的家伙要求所有的权限和密码都在那里处理，我苦啊，偶是敢努而不敢言，他是偶的直接上级。…………今天上午又改代码，差点没弄死我。权限的回传这个比较好解决，现在就是密码一定要在总的模块里验证这个让我很头痛。如果效率高一些的话我想可能用存储过程会好些，这样我想应该相对安全性会比直接用Session要安全和可靠，现在还在考虑这个方案的可行性，各位给点意见，谢了！

那我没办法了。看样子只能用Session了，我实在想不出什么好的办法了。

我看了微软件的官方介绍，具体的就不知道了。呵呵！不好意思，这两天和朋友自驾游去了。