セッション管理 ソフトウェア特論 第 8 回. ここでの内容 セッション管理の基本を知る。 HttpSession の使い方を知る。

Presentation on theme: "セッション管理 ソフトウェア特論 第 8 回. ここでの内容 セッション管理の基本を知る。 HttpSession の使い方を知る。"— Presentation transcript:

1 セッション管理 ソフトウェア特論 第 8 回

2 ここでの内容 セッション管理の基本を知る。 HttpSession の使い方を知る。

3 セッションとは何か 次の一連の流れのこと – Web ブラウザと Web サーバが接続される – Web ブラウザが要求を出す – Web サーバが応答を返す – 接続を切る

4 セッション管理 あるセッションと別のセッションとは無関係 ところが、セッション同士を関係付けたい場合 もある – 例えばショッピングサイトで、商品Ａと商品Ｂを同 じ人が一緒に購入したい場合 セッションをひとまとめにする仕組みが「セッ ション管理」

5 セッション ID Web サーバは、セッション管理が必要になる 時点で、 Web ブラウザに「セッション ID 」を 発行する。 Web ブラウザは、その Web サーバにアクセス するときに、セッション ID を使用する セッション ID によって、 Web ブラウザを識別 する セッション ID の受け渡し方法 – Cookie と URL Rewriting

6 Cookie Web ブラウザ側のコンピュータにテキスト ファイルとして保存 ( 保存しない場合もある ) セッション ID のほか、関連するさまざまな情 報を含めることができる。ただしテキストベー ス。 Cookie を使えない場合もある – Web ブラウザ側で Cookie を受入を拒否できる – 携帯電話のブラウザ

7 URL Rewriting Cookie が使えないときに用いられる セッション ID を URL に含めて渡す – 購入 – クリックすると “ /select?id=12345 ” が要求となる セッション ID が露出しているので、セキュリ ティ上問題がある。

8 HttpSession (1) Java で セッション管理を行うためのインタ フェース HttpSession の取得 – HttpSession session = request.getSession(); – HttpSession が無い場合には新しく生成。このとき、 セッション ID も生成 HttpSession にオブジェクトを登録 – session.setAttribute( “ bookList ”, list);

9 HttpSession (2) HttpSession からオブジェクトを取得 – List list = session.getAttribute( “ bookList ” ); HttpSession からオブジェクトを削除 – session.removeAttribute( “ bookList ” ); HttpSession を終了 – session.invalidate();

10 HttpSession による セッション ID の受け渡し 普段は Cookie を使う – セッション ID だけが Cookie に含まれる。他の情報 はサーバ側に。 Cookie が使えない場合、 URLRewriting – response.encodeURL("http://hogehoge.com/test/sel ect"); – Cookie を利用する場合は、そのまま – URLRewriting の場合は セッション ID を自動的に付 加http://hogehoge.com/test/select?id=12345

11 セッションタイムアウトの処理 HttpSession には有効期間がある – デフォルトでは 30 分間アクセスがないと廃棄される HttpSession を使いまわす場合 – 新規に作成するのは最初の１回だけにしておく。 – 途中でタイムアウトが起きるといろいろ面倒だから。 – HttpSession session = request.getSession(false);

12 レポート課題について 第１回は 12 月 5 日 ( 金 ) まで。 第２回は 12 月 26 日 ( 金 ) まで。 詳しくは http://www.wakhok.ac.jp/~tomoharu/tokuron20 03/ を参照のこと。 http://www.wakhok.ac.jp/~tomoharu/tokuron20 03/