HTTP セッションの問題

• 「セッション・トラッキング・メカニズム」プロパティーの下の「Cookie を使用可能にする」チェック・ボックスにチェックマークを付けてください。
• テストを実施するブラウザー、またはユーザーがアプリケーションにアクセスしているブラウザーで Cookies が使用可能になっていることを確認します。
• SessionManagerで指定されている Cookie ドメインを確認します。 Cookie の設定を表示または更新するには、 「セッション・トラッキング・メカニズム」 > 「Cookie プロパティーを使用可能にする」で、 「変更」をクリックします。
  • 例えば、Cookie ドメインが .myCom.comに設定されている場合は、そのドメイン・ネームを使用してリソースにアクセスする必要があります。 例: https://www.myCom.com/myapp/servlet/sessionservlet。
  • ドメイン・プロパティーが設定されている場合は、ドット (.) で始まっていることを確認してください。 ドメイン・ネームがドットで始まっていない場合、古いブラウザーは Cookie を受け入れない可能性があります。 最近のブラウザーは、ドメインをドット付きまたはドットなしで受け入れます。 例えば、ドメイン・ネームが mycom.comに設定されている場合は、すべてのブラウザーが Cookie を受け入れるように、ドメイン・ネームを .mycom.com に変更します。
    注: サーバーが異なるホスト上にある場合は、プラグインを使用して Web サーバーなどのフロントエンド・ルーターを構成するか、Cookie ドメインを設定することにより、セッション Cookie がすべてのサーバーに流れるようにします。
• 「SessionManager」で指定されている「Cookie パス」をチェックします。 問題の URL が、指定された Cookie パスよりも階層的に下になっていることをチェックしてください。 このようになっていない場合は、Cookie パスを訂正します。
• Cookie maximum age プロパティーが設定されている場合は、クライアント (ブラウザー) マシンの日付と時刻が、時間帯を含めてサーバーの日付と時刻と同じであることを確認します。 クライアントとサーバーの時間差が 「Cookie の最大存続期間」 を超える場合、アクセス後に Cookie の有効期限が切れるため、すべてのアクセスは新規セッションになります。
• エンタープライズ・アプリケーション内にセッションを追跡する複数の Web モジュールがある場合は、以下のようにします。
  • エンタープライズ・アプリケーション内の各 Web モジュールで異なるセッションの設定を使用する場合は、各 Web モジュールで異なる Cookie 名またはパスを指定するようにします。
  • エンタープライズ・アプリケーション内の Web モジュールが共通の Cookie 名とパスを使用している場合は、Cookie の最大経過時間などの HTTP セッションの設定がすべての Web モジュールで同じになるようにしてください。 これを行わないと、Cookie の振る舞いは予測不能となり、セッションを作成するアプリケーションに左右されます。 このことは、セッション・データには影響を与えないことに注意してください。セッション・データは、Web モジュールによって個別に保守されています。
• 以下のようにして、ブラウザーとサーバーの間の Cookie の流れをチェックします。
  1. ブラウザーで、 「Cookie プロンプト」を有効にします。 サーブレットをヒットし、Cookie が要求されることを確認します。
  2. サーバーで、 SessionManager トレースを有効にします。 トレース仕様 com.ibm.ws.session. * = all=enabledを使用して、HTTP セッション・マネージャー・コンポーネントのトレースを使用可能にします。 トレースを使用可能にした後、セッションを使用するサーブレットまたは JSP を実行し、指示に従ってトレース出力をダンプして参照します。
  3. ブラウザーからセッション・サーブレットにアクセスします。
  4. ブラウザーは Cookie を要求します。jsessionid をメモしておいてください。
  5. サーブレットを再ロードし、新規の Cookie が送信されてきた場合は、前の Cookie を書き留めておきます。
  6. セッション・トレースをチェックして、セッション ID を探し、スレッドにより要求をトレースします。 以下のようにして、Web 要求の間でセッションが継続していることを確認します。
     • セッション要求の開始である getIHttpsession(...) を探します。
     • サーブレット要求の終わりである releaseSession(..) を探します。
• Cookies ではなく URL の再書き込みを使用している場合は、以下のようにします。
  • アプリケーションのナビゲーション・パスに静的な HTML ページが存在していないことを確認します。
  • サーブレットおよび JSP ファイルが URL 再書き込みを正しく実装していることを確認してください。 詳細および例については、 セッション・トラッキング・オプションを参照してください。
• 非推奨フィーチャー: SSL ID を使用したセッション・トラッキングは、 WebSphere Application Server バージョン 7.0では推奨されません。 セッション・トラッキングを構成して Cookie を使用するか、あるいはアプリケーションを変更して、URL 再書き込みを使用することができます。
  SSL をセッション・トラッキング・メカニズムとして使用している場合は、以下のようにしてください。
  • IBM HTTP Server または iPlanet HTTP サーバーで SSL が有効になっていることを確認します。
  • セッション・トラッキング・オプションを確認します。

<% @page session="false" %>

1. 管理コンソールで、「セキュリティー」>「グローバル・セキュリティー」とクリックします。
2. 「カスタム・プロパティー」の下で、「新規」をクリックします。
3. 「名前」フィールドに、com.ibm.ws.security.web.logoutOnHTTPSessionExpire と入力します。
4. 「値」フィールドに true と入力します。
5. 「適用」および「保存」をクリックして、構成の変更を保存します。
6. サーバーを再同期して再始動します。