前提・実現したいこと
Form認証で、セッションIDをCookieに保存するような会員制Webアプリケーションを作成しています。
Webアプリケーションの場合、必ずログアウト操作が行われるとは限りません。
下記の構成で、生成したセッションIDは、いつ破棄するのが一般的でしょうか。
処理の流れ
- クライアント:ログインリクエスト。
- サーバー :DBからパスワードを取得、検証。セッションIDをDBに登録し、クライアントへセッションIDを付加したレスポンス。
- クライアント:リクエスト。
- サーバー :DBからセッションIDに紐づくユーザー情報を取得、検証。レスポンス。
(以降は、3と4を繰り返します。)
構成
AWSで、以下の構成としています。
Nginx + uWSGI + Flaskです。
RDSは、Amazon RDS for MySQLです。
アプリケーションDBとセッションDBと兼用です。
補足情報(FW/ツールのバージョンなど)
調査したところ、Redisのようなインメモリデータベースを採用することで、
セッションIDに有効期限を決め、自動的に破棄してくれるようですが、
ランニングコストの関係上、当面は採用したくないと考えています。
回答2件
あなたの回答
tips
プレビュー