Es obvio que si no uso cookies los datos los hago pasar de página a página usando el método GET (QueryString) o POST (Form) cuando se puede. Pero solo cuando no puedo usar cookies.
Lo normal si quieres crearte tu propia gestion de identificacion de usuario es:
Código:
- Comprobar usuario.
Si es correcto --> Guardar en DB Hora, Fecha, Id de usuario, Luego identifico esa sesion del usuario con la ID de ese registro y lo hago comparar siempre que sea necesario (con su existencia me vale en la mayoria de los casos)
Si no es correcto --> Lo comunico, guardo el intento y la IP de donde viene y le dejo entre 3 y 5 veces mas. Si aun asi falla, es IP es baneada a la sexta vez aunque responda correctamente al nombre y contraseña de usuario
Como ves solo necesitas un numero entero largo (tal como hace el objeto Session) que cambia cada vez que el usuario sale y entra como lo cual es imposible que alguien me entre simplemente deshabilitando las cookies y asignando un numero a la cadena de direccion.
El objeto Application es para el servidor y se usa para TODA la aplicacion, tanto para el cliente activo como para el resto. El objeto Session es solo para el cliente. Application lo utilizo por ejemplo para ver que usuarios estan activos en el momento del cierre de aplicacion, entonces veo aquellos usuarios que han cerrado indebidamente su sesion y los borro de la tabla de gestion de accesos.
Espero haber despejado algunas de tus dudas.
Un saludo