ASP MVC5 (C#)安全缓存敏感用户信息

Question

我需要在帖子之间安全地存储敏感的用户数据。我读过许多关于会话缓存和应用程序缓存的利弊的文章，但仍然没有明确的赢家。

下面是一个场景:用户输入敏感信息并将其发布到服务器。他被发送到一个只读确认屏幕，并要求OTP (通过短信发送)。然后将数据再次发送到服务器。在第二篇文章中，我需要检查viewmodel信息是否被篡改，并验证OTP。

因此，视图模型信息需要缓存在第一个帖子上，并在第二个帖子上进行比较。此视图模型包含非常敏感的信息，因此需要尽可能安全地存储。

我曾经想过使用session来存储加密的用户数据存储对象，但我仍然不完全相信这是最好的解决方案。

如能就此事提供建议和指导，将不胜感激！

Answer 1

如果您最终要将这些数据存储在DB中，那么我假设您发现您的DB对此数据足够安全。解决方案可能是在第一个POST上的DB中存储这些数据，并添加一些属性来说明是否验证了这些数据(我将将其称为IsVerified)。一旦用户验证了OTP，只需将这个IsVerified属性设置为true。

与会话存储相比，此解决方案的优点是：

1. 您不必担心会话到期。(例如，如果SMS延迟)
2. 如果您要使用负载均衡器，您将无法使用粘性会话来存储您的数据，这意味着您必须使用一些更高级的会话管理。
3. 用户不必提交此敏感数据两次，这意味着您不必重新验证id。