Q&A
今回はSpring Bootを使用していますが、セッションの生成や管理についての機能も、フレームワーク側で管理してくれるのでしょうか(Spring Sessionというのを見つけたので、これが該当しそう...)。
前提・実現したいこと
初歩的な質問で大変恐縮なのですが、誰がセッションIDをCookieに保存しているのか知りたいです。
発生している問題
以下の環境で作成されたWebアプリケーションのセッション管理方法について、次のようにイメージしているのですが、正しいかどうか自信がありません。
言語:Java
FW:Spring Boot
Webサーバ:Apache
APPサーバ:Tomcat
Webアプリのログイン認証に成功したとき、Apatchがセッションを作成し、クライアントへクッキーを送信している。
Webアプリ側は、Apatchがセッションやクッキーの作成・送信をしてくれるので、特にコードを記述する必要はない。
お手数をおかけしますが、よろしくお願いいたします。
回答3件
0
ベストアンサー
Apacheにはセッションという概念は無いです。
フレームワークを使ったWebシステムの場合は、フレームワークがセッションを管理するのが普通です。
つまり、レスポンスヘッダにセッション管理用のSet-Cookieヘッダを付けるのはフレームワークです。
投稿2020/12/06 13:57
総合スコア85882
0
通常、セッションと言えばWebアプリがユーザーを識別するための情報なので、Webアプリ=Tomcatで動かしているJavaプログラムが作成します。(Basic認証などはApacheでやることが多いです)
Cookieは、Webブラウザがデータを保存する機能です。
サーバはWebブラウザに対してSetCookieという指示とともにセッションIDを送り返します。
セッションIDを受け取ったWebブラウザは、Cookieに保存します。
投稿2020/12/06 13:47
総合スコア204
Spring Sessionでいいと思います。ただ、セッション情報を格納するDBが必要なようです。
もしユーザーログイン等があるならそちらと連携させる必要があります。
0
誰がセッションIDをCookieに保存しているのか知りたいです。
Webクライアント(クライアントのブラウザ等)です。
Cookieに対応していない(またはCookieを無効にしている)ブラウザは保存することができません。
※厳密に言えばブラウザは、単にレスポンスで指定されたCookieを保存しているだけです。
それがセッションIDかどうかは判断していません。
投稿2020/12/06 13:40
編集2020/12/06 13:42
総合スコア7918
セッションIDをクッキーに保存するように指示を出している(レスポンスヘッダにset-cookieを付けている)のはWebサーバの認識ですが、これは正しいでしょうか?また、正しい場合は、これはApacheなどのソフトが自動でやってくれることであり、特に設定不要でしょうか?
APPサーバ:Tomcatなら普通はtomcatで動作しているアプリでセッションIDを発行(set-cookie)しているはずです。
Webアプリ側でセッションIDを発行するのですね!
乱数を使用してセッションIDを生成する命令を記述しないといけないのでしょうか。
もしくは、セッションIDの生成も行うフレームワークがあるのでしょうか(Spring Sessionが該当しそうな気がしています)。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/12/06 22:04
2020/12/07 09:21