Oracle Application ServerのSessionIDの管理方式について調査。
- SessionIDは他のJ2EEコンテナと同様に「jsessionid」というキーでブラウザに渡される。
- ブラウザがCookieをサポートしている場合はCookieにjsessionidをセットし、Cookieをサポートしていない場合はURL RewriteでURLにjsessionidを付加する。
- HTTPSで通信するアプリケーションでは、CookieにもURL RewriteにもセットせずSSLセッションの属性として管理するため、CookieやURL Rewriteと比べてよりセキュア。
- アプリケーションでHTTPとHTTPSが混在する場合は、xxx-web-site.xmlの
タグのshared属性をtrueに設定した場合にHTTPS通信の場合はSSLセッションにjsessionidをセットする。
といった感じらしい。