セッション管理 J2EE I 第9回 / 2005-01-15
ここでの内容 セッション管理の基本を知る。 HttpSession の使い方を知る。
セッションとは何か 次の一連の流れのこと WebブラウザとWebサーバが接続される Webブラウザが要求を出す Webサーバが応答を返す 接続を切る
セッション管理 あるセッションと別のセッションとは無関係 ところが、セッション同士を関係付けたい場合もある 例えばショッピングサイトで、商品Aと商品Bを同じ人がショッピングカートに入れ、購入したい場合 セッションをひとまとめにする仕組みが「セッション管理」
セッションID Webサーバは、セッション管理が必要になる時点で、Webブラウザに「セッションID」を発行する。 Cookie と URL Rewriting
Cookie Webブラウザ側のコンピュータにテキストファイルとして保存 (保存しない場合もある) セッションID のほか、関連するさまざまな情報を含めることができる。ただしテキストベース。 Cookie を使えない場合もある Webブラウザ側でCookie を受入を拒否できる 携帯電話のブラウザ
URL Rewriting Cookie が使えないときに用いられる HTTPの応答で返されるHTMLに、セッションID を含めたリンクを用意する <a href=“/select?id=12345>購入</a> このリンクをクリックすると “/select?id=12345” が要求となる セッションIDによってブラウザを識別できる セッションIDが露出しているので、セキュリティ上問題がある。
HttpSession (1) Java で セッション管理を行うためのインタフェース HttpSession の取得 HttpSession session = request.getSession(); HttpSession が無い場合には新しく生成。このとき、セッションIDも生成
HttpSession (2) HttpSession にオブジェクトを登録 HttpSession からオブジェクトを取得 session.setAttribute(“bookList”, list); HttpSession からオブジェクトを取得 List list = session.getAttribute(“bookList”); HttpSession からオブジェクトを削除 session.removeAttribute(“bookList”); HttpSession を終了 session.invalidate();
HttpSession による セッションIDの受け渡し (1) 普段は Cookie を使う Cookieに入る値はセッションIDだけ。 ほかの情報は、サーバ側で保存される。 そのユーザの購入履歴やパスワードなど
HttpSession による セッションIDの受け渡し (2) Cookie が使えない場合、URLRewriting response.encodeURL("http://hogehoge.com/test/select"); Cookie を利用する場合は、そのまま URLRewriting の場合は セッションIDを自動的に付加 http://hogehoge.com/test/select?id=12345
セッションタイムアウトの処理 HttpSession には有効期間がある HttpSession を使いまわす場合 デフォルトでは30分間アクセスがないと廃棄される HttpSession を使いまわす場合 新規に作成するのは最初の1回だけにしておく。 途中でタイムアウトが起きるといろいろ面倒だから。 HttpSession session = request.getSession(false);