CookieとSessionの基礎
2 min read
- #note
- #web
目次
新卒研修でやった内容を軽くまとめたもの
Cookie
Cookie = サーバーから送られるデータ、ブラウザに保存される
- HTTP に状態を持たせることができる
- 「これはログイン後のやりとりだよ〜」とか
- ID、パスワードの 2 つが保存されていればできる
- ユーザーに再度入力させる必要がなくなる
- 「これはログイン後のやりとりだよ〜」とか
- 簡単に見える + 書き換えもできる
- パスワードなどの秘密情報は扱えない
Session
Session = Cookie を使いつつ、安全に HTTP に状態を持たせる方法
- ユーザーの状態に紐づく ID のみを Cookie として扱う
- サーバー側では、ID に対応する状態を保持する
- データはログアウト時などに破棄される
- パスワードなどを見られたり、改変されたりする可能性は低くなる
- サーバー側では、ID に対応する状態を保持する
- ID としては推測されにくいランダムに生成された値を使う
- セッションハイジャック
- セッション ID をネットワークなどから盗まれること
- ログイン状態が奪われ、様々な情報が閲覧されてしまう
- セッションも万能ではない
- HTTPS とか Cookie の Secure フラグは必須