javaでのsessionとcookieとsslの話
何やらsession切れるとかいうバグが報告されるもんだから調べたり聞いたりした結果。
ssl(https)で初期化されたsessionはcookieかsecureになるので、httpへは引き継がれず、sessionが切れる。
実証はjBoss4.2.2GAです。
手順は何という事なく、httpsから始まるページで新規sessionを張る様にし、一応jsessionidのcookieを確認。
その後httpsから抜けてhttpのページに遷移した際にcookieを確認。
cookieってなに?っていう場合の資料として分かり易かったのはこれ。
http://www.studyinghttp.net/cookies
なんかコンサル会社に上長がポロッと聞いた時は「httpsではsession切れますよ!」と自信ありげに言っていたが、httpsだったら単純に切れるとかいう話ではなく、「httpsで張られた新規sessionの場合」って事だろ!と思いました。
6年くらいこの仕事やってますが、いやぁ、まだまだ知らん事が多いなぁ。
新しい技術より古くて、今の基板になって技術の方が実際はちゃんと掴んでないとダメだし、こっちの方が重要だなぁと再認識。
追記:
APサーバーで書き換えられるのもあるらしいですが
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=5722&forum=12
ssl(https)で初期化されたsessionはcookieかsecureになるので、httpへは引き継がれず、sessionが切れる。
実証はjBoss4.2.2GAです。
手順は何という事なく、httpsから始まるページで新規sessionを張る様にし、一応jsessionidのcookieを確認。
その後httpsから抜けてhttpのページに遷移した際にcookieを確認。
cookieってなに?っていう場合の資料として分かり易かったのはこれ。
http://www.studyinghttp.net/cookies
なんかコンサル会社に上長がポロッと聞いた時は「httpsではsession切れますよ!」と自信ありげに言っていたが、httpsだったら単純に切れるとかいう話ではなく、「httpsで張られた新規sessionの場合」って事だろ!と思いました。
6年くらいこの仕事やってますが、いやぁ、まだまだ知らん事が多いなぁ。
新しい技術より古くて、今の基板になって技術の方が実際はちゃんと掴んでないとダメだし、こっちの方が重要だなぁと再認識。
追記:
APサーバーで書き換えられるのもあるらしいですが
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=5722&forum=12
カテゴリ
技術ネタトラックバック(0)
このブログ記事を参照しているブログ一覧: javaでのsessionとcookieとsslの話
このブログ記事に対するトラックバックURL: http://blog.chrhsmt.com/mt/mt-tb.cgi/45
コメントする