Hi,

Genau: Wozu überhaupt eine Datei auf dem Server!? Eine Session ist für die Dauer einer Browsersitzung gültig, d.h., es genügt vollkommen, dass die der Session zugeordnete Identity lediglich vom Browser (clientseitig) gespeichert wird.

Genau das wird die Session-*ID* ja auch – und der Client schickt sie bei jedem Request mit an den Server, damit dieser die dem Client zugeordneten serverseitig vorgehaltenen Daten identifizieren kann.

Das ändert nichts daran, dass diese serverseitigen Daten serverseitig gespeichert bleiben (sei es in einer Datei oder sonstwo) – weil sie entweder gar nicht an den Client herausgegeben (Stichwort Manipulierbarkeit), oder nicht jedes Mal, wenn der Server sie für Berechnungen benötigt, erneut über das Schneckenprotokoll HTTP gewuchtet werden sollen.

MfG ChrisB