Develop with pleasure!

福岡でCloudとかBlockchainとか。

OASのSessionIDの管理方式。

Oracle Application ServerのSessionIDの管理方式について調査。

  1. SessionIDは他のJ2EEコンテナと同様に「jsessionid」というキーでブラウザに渡される。
  2. ブラウザがCookieをサポートしている場合はCookieにjsessionidをセットし、Cookieをサポートしていない場合はURL RewriteでURLにjsessionidを付加する。
  3. HTTPSで通信するアプリケーションでは、CookieにもURL RewriteにもセットせずSSLセッションの属性として管理するため、CookieやURL Rewriteと比べてよりセキュア。
  4. アプリケーションでHTTPとHTTPSが混在する場合は、xxx-web-site.xmlタグのshared属性をtrueに設定した場合にHTTPS通信の場合はSSLセッションにjsessionidをセットする。

といった感じらしい。