[2083] Re:セッションの補足について
投稿者:(ぱ)こと管理人
2017/12/26 00:07:18
>①Webサーバがたくさんある場合
>「アプリケーションサーバソフトウェア(Tomcatなど)が再起動した場合には、
>セッションが失われてしまいます」とありますが、それはなぜでしょうか?
>アプリケーションサーバソフトウェアを再起動すると、その上で動くサーブレットも
>再起動となりセッションもクリアされるからでしょうか。その意味では、
>Webサーバがたくさんある場合とは直接関係ないものでしょうか?
確かに、Webサーバが1台でも「Webサーバが壊れたとか、アプリケーションサーバ
ソフトウェア(Tomcatなど)が再起動した場合には、セッションが失われてしま」う
ことに変わりはないですね。
意図としては、Webサーバがたくさんある場合、普通は「1台くらい壊れても
問題なく動作する」ことを期待して「冗長化」するのであって、にもかかわらず
(そのサーバに接続していたユーザだけとはいえ)セッションが失われてしまうのでは
Webサーバをたくさんにした意味がない、という趣旨で書いています。
>②セッションをCookie以外で実現する方法
>「URL Writing」の説明に「RefererなどでセッションIDが漏洩しやすい」とありますが、
>それはなぜでしょうか?CookieならばJavascriptから見えないようにすることが
>できるからでしょうか?
CookieならJavaScriptから見えないようにできるというのもありますが、
この文章での意図としては、書いてある通り「RefererなどでセッションIDが漏洩」すると
いうことです。SNSなどで、悪意を持ったユーザが自サーバのURLを貼ったら、
そのサーバのアクセスログのRefererのところに、うっかりリンクを踏んだ人の
セッションIDが普通に現れます。