调试易

一般都是采用你这第二种方式的，你可以对你的用户表做一些优化应该不会太耗时的。或者你可以设计一种折中的方式来处理，先采用你的第一种方式（匹配cache中的数据），如果匹配成功，则自动认为登录成功，如果匹配失败，再采用第二种方式再次匹配，这样可能要稍微好些，毕竟宕机总是少数。

其实楼主说的这两种方式安全性基本上差距不大。
当然第二种方式里面的用户名和密码加密，用户名可以用可逆的加密方式，密码得用非可逆的加密方式。这样在这两种情况下，只要截获到cookie的话，都是可以进入系统的，都进入系统了，还可能获取不到用户名吗，自然也是可以获取的，所以公开了用户名也没有什么，毕竟密码是搞不定的。
如果搞定了密码，那也就意味着服务器被攻陷了，那也就没有安全性可言了。其实第一种做法就是变相的session了，只是把session中的数据放到缓存服务器了。这样确实很安全，但是他又想宕机之后也能用，那就必须得权衡了。

方式一成本太高了，目前就只有一个tomcat

这时候客户端发送的cookie已能表示一个用户，再把数据读出来缓存起来呗。不单单是重启，运行时会删除缓存数据，比如lru算法、数据过期，就算有单独的缓存服务器，也是要重新去读取数据的。

方式一成本太高了，目前就只有一个tomcat那就存DB呗。你再说用DB成本也高那我就真觉得没的玩了。