Использование внутрипроцессного состояния сеанса вредно, когда дело доходит до масштабирования веб-приложений (плохо работает с кластерами, взрывается при перезапуске сервера).

Предполагая, что вам просто нужно хранить небольшое количество информации в состоянии сеанса, в чем недостаток использования зашифрованных элементов cookie для этой цели, а не конкретных серверов состояний / БД?

Очевидно, что использование куки-файлов создаст небольшую нагрузку на сеть, и, очевидно, вы работаете в предположении, что куки-файлы включены на клиентском браузере / мобильном устройстве.

Какие еще подводные камни можно увидеть с подходом?

Это хороший вариант для простых, масштабируемых и надежных сессий?