プログラミングしてますか?
いま開発中のシステムでセッション管理に携わる機会があったので記事にしてみました。
まずセッション管理とは何でしょう❓❓
何となくわかってはいましたが、改めて整理してみます。
IPAのページで調べました。📘
HTTPプロトコルとは
クライアントからWebサーバーへのリクエストがあるたび、クライアントとサーバー間でコネクションが成立し、リクエストに対するレスポンスが行われ、コネクションは切断されます。
したがって管理機能がないと、誰が送信したのか判断できません。
電子商取引サイトのようにWebサーバーにユーザがログインしてからログアウトするまで、ログイン情報を保持したままページを移管するには、このままでは問題があります。
そこで、クライアントとサーバー間でその情報を保持し、アクセス制御を一つの集合体として管理する仕組みが必要となります。この仕組みをセッション管理と言います。
もやもやスッキリしましたか?☺️
管理方法ですが、
一般的にはセッションIDを発行して管理します。
このIDは何でもいいわけではなく、ユニークな値である必要があります。
また、漏洩しないようCookieに格納するなどしてクライアントと通信することでユーザを特定します。
ここで気をつけなければならないのが、脆弱性対策です。
ID乗っ取りとか、クリックジャッキングとか、クロスサイトスクリプティングとか、様々な攻撃を仕掛ける輩がいますので、これらにしっかり対策する必要があります。🔥
一つ一つ解説すると長くなるのでまた次回!✌️
web開発では欠かせない問題なのでしっかり対策しましょう!では👋
いま開発中のシステムでセッション管理に携わる機会があったので記事にしてみました。
まずセッション管理とは何でしょう❓❓
何となくわかってはいましたが、改めて整理してみます。
IPAのページで調べました。📘
HTTPプロトコルとは
クライアントからWebサーバーへのリクエストがあるたび、クライアントとサーバー間でコネクションが成立し、リクエストに対するレスポンスが行われ、コネクションは切断されます。
したがって管理機能がないと、誰が送信したのか判断できません。
電子商取引サイトのようにWebサーバーにユーザがログインしてからログアウトするまで、ログイン情報を保持したままページを移管するには、このままでは問題があります。
そこで、クライアントとサーバー間でその情報を保持し、アクセス制御を一つの集合体として管理する仕組みが必要となります。この仕組みをセッション管理と言います。
もやもやスッキリしましたか?☺️
管理方法ですが、
一般的にはセッションIDを発行して管理します。
このIDは何でもいいわけではなく、ユニークな値である必要があります。
また、漏洩しないようCookieに格納するなどしてクライアントと通信することでユーザを特定します。
ここで気をつけなければならないのが、脆弱性対策です。
ID乗っ取りとか、クリックジャッキングとか、クロスサイトスクリプティングとか、様々な攻撃を仕掛ける輩がいますので、これらにしっかり対策する必要があります。🔥
一つ一つ解説すると長くなるのでまた次回!✌️
web開発では欠かせない問題なのでしっかり対策しましょう!では👋
