Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年2月23日
最終更新日:2013年3月1日

HTTP はステートレス

前の記事で解説したように、HTTP の通信はリクエストとレスポンスから成り立っています。

pic001

HTTP のリクエストとレスポンスは仕組みが単純すぎて、一回のやり取りで処理が完結してしまいます。ですので、Web サーバー側で「状態」を管理することができません。

具体的にどういうことかというと、以下のようなやり取りになるということです。

ここでユーザーをA、Web サーバーを B とします。

A: 私はAです。
B: Aさんですね。了解しました。
A: 本を一冊購入したいのですが。
B: あなたは誰ですか?

B が最初のやり取りを覚えておらず、2回目のリクエストを A からだと認識できていません。毎回、違う相手からのリクエストとしか判断できないのです。このように、やり取りの状態を継続して扱うことができないことを「ステートレス」と言います。

ですが、Webアプリケーションを作るためには、相手が誰かを管理する必要があります。相手が誰なのか覚えておけないようでは問題です。

この問題を解決するために、「セッション管理機能」というものがあります。セッション管理とは簡単に言うと、ユーザーに整理番号を割り当てて、整理番号を見ることで相手が誰なのかを判断できるようにする仕組みのことです。

セッション管理については、別の記事で改めて解説します。

  • HTTP はステートレスで状態を管理できない
  • 状態を管理するためにセッション管理機能がある

スポンサーリンク




カテゴリー:Webアプリケーションセキュリティ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA