セッション Cookie の概念

クライアントとサーバーの間のセッション状態を保持する方式の 1 つは、Cookie を使用して、このセッション情報を保持することです。サーバーは、特定のクライアントのセッション鍵を Cookie にパッケージして、それをクライアントのブラウザーに送ります。新規要求ごとに、ブラウザーは (セッション鍵を保有した) Cookie をサーバーに送り返すことにより、自身を再識別します。

セッション Cookie は、クライアントで使用されているブラウザーが SSL セッションについて再折衝を行うまでの時間が極めて短い場合に考えられるソリューションの 1 つです。例えば、Microsoft Internet Explorer ブラウザーのバージョンによっては、2 分から 3 分ごとに SSL セッションについて再折衝します。

セッション Cookie は、Cookie を生成したマシン以外のマシンに受け渡すことができないサーバー固有の Cookie です。セッション Cookie は、ブラウザーを使用して、クライアントが以前に認証した単一で固有のサーバーとそのセッション Cookie 自体を再識別させることができます。セッション Cookie を使用している場合、WebSEAL は、クライアントに別のログインを求めるプロンプトを出す必要はありません。

セッション Cookie に保管されたセッション鍵には、サーバーのセッション・キャッシュのインデックスに使用する乱数 ID (「鍵」) のみが含まれています。セッション Cookie で公開される情報は、他には何もありません。