6.4 セッション管理
|
||
前のページへ |
WWWサービスで使用されるHTTPプロトコルでは、クライアントからWebサーバーへのリクエストがあるたび、クライアントとサーバー間でコネクションが成立し、リクエストに対するレスポンスが行われ、コネクションは切断される。そのため、Webサーバーに対する複数リクエストが同一クライアントから送信されたものであるかどうかを判断することは不可能である。
一般的なWebブラウジングでは特に問題にはならないが、電子商取引サイトのようにWebサーバーにユーザがログインしてからログアウトするまで、ログイン情報を保持したままページを移管するには、このままでは問題がある。そこで、クライアントとサーバー間でその情報を保持し、アクセス制御を一つの集合体として管理する仕組みが必要となる。この仕組みをセッション管理と呼んでいる。
このセッション管理を実現する一般的な方法に、Webサーバーが発行するセッションIDを利用するものがある。これは、クライアントがWebサーバーにログインした際、セッションIDを発行し、以後、その情報を基にクライアントとWebサーバーのセッション管理を行う。
セッション管理を実現するには、一般には以下のような方法が利用される。
Webサーバー側で発行されたセッションIDをクライアントのCookieに持たせることで、特定ユーザの識別を行う。
入力フォームをWebサーバーに送信する際に利用するFORMタグのhiddenフィールドにセッションIDを持たせることで、セッション管理を実施する。Cookieを使用できない場合に、利用されることが多い。
動的コンテンツを利用する際の留意点 |
第6章の目次
|
セッション管理の留意点
|
Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.