クッキーなしでもセッション管理ができる?
昨日の記事で、『httpはステートレスなので、httpを使っている以上、セッション管理はクッキーが必須』と書きましたが、厳密には間違いでした。
Javaのセッションオブジェクトではメモリ、PerlのCGI::Sessionモジュールでは、ファイルやDBにセッション情報を保持し、セッションIDをhiddenパラメータやURLパラメータで引き渡し、セッション情報にセッションIDを問い合わせることでセッション管理をすることができますね。
ですので、クッキーは必要ありません。
しかし、hiddenパラメータやURLパラメータは、htmlのソースがブラウザで丸見えなので簡単に改ざんされるケースが否定できないです。
やはり、セッションIDは、安易に改ざんできないクッキーで渡すのが一番なんですかね。
また、httpsの場合は、クッキーにsecure属性を指定すれば、ほぼ完璧に安全ですね。
ということで、以下はセッションID引き渡しの安全順です。
- クッキーにsecure属性つけてセッションIDを引き渡す。
- クッキーでセッションIDを引き渡す。
- hiddenパラメータでセッションIDを引き渡す。(セッションIDが改ざんされ易い)
- URLパラメータでセッションIDを引き渡す。(ブラウザのアドレス欄にセッションIDが表示される)