- ベストアンサー
セッションIDについて
- セッション管理について、まったく経験がない方へのアドバイス
- IPアドレスとドメイン名でのアクセス制限についての疑問
- セッションIDの使い方と管理者と一般の機能の切り分けについて
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
> プログラムの作りでそうなってるのかもしれませんが > これって変ですよね? それともよくあることなのでしょうか? これは変でも何でもありません。 表示されるHTML内で張られているURLリンクパスが内部的な事情で相対パスでなく絶対パスで管理されているのでしょう。 変えるのなら全部変えないと、ご自身で経験されているようにリンクをたどっていてURL記述が変わるとセッションが切れてしまうからです。 セッションはサーバ側だけのものでなく、クライアント側のクッキー情報との連携があって成立するものです。 ユニークなIDをブラウザ側でクッキーとして保存してそのIDをサーバ側で参照してセッションを確立するのです。 当然、クッキーは「ドメイン名」や「IPアドレス」でなく「URL情報」(+期限)をベースに保存されます。 URLをドメインでアクセスすればドメイン名、IPでアクセスすればそのIPアドレスでクッキーは保存されるのです。 これは、サーバがどうたらというものでなくインターネットの仕組みの問題です。 URLのA(ドメインまたはIP)で保存されたクッキーがURLのB(ドメインまたはIP)から参照できるようならセキュリティ上大問題です。 URLが変わってクッキー情報が取得できなければセッションは成立しませんので、セッションは切れて当然です。 もうひとつドメインとIPはDNSというサービスでヒモ付けされてはいますが絶対ではありません。 近年のインターネット参加者は元の仕組みを知らないため、まるでドメインがあって当たり前のように思われていますがDNSという分散型データベースのいちサービスによって成り立ってます。 黎明期にはDNSも現在のように統合されておらず、草の根DNSサービスとかもあって社会政治的(管理されるのがやだとか)または経済的(フリーで登録したいとか)な意味合いから各自のポリシーによってDNSシステムを選択することができた時代もありました(メールもドメインでなくIPで普通に送受信できていました)。 近年ではウイルスやマルウェアによってIPとドメインのヒモ付けがクライアントのPCレベルで偽装工作がされるようになっています。 あくまでインターネットのホスト間通信の基盤はIPアドレスだということはキモに命じておいて下さい。 DNSはWebやメールと同じ立場のいちサービスに過ぎないもので、有って当たり前というようなものではない(無いと困りますけどね)のです。 さらにもうひとつ、近年ではWebサーバに仮想ドメインという機能も搭載されて、ひとつのIPに複数のドメインをぶら下げ、ドメインごとに設定によってコンテンツを分けるものも有ります。 そのサービスの場合にはIPアドレスって表面的には役に立たなくなってしまいますね。 最後にセッションIDで機能を使い分ける方法とやらですが、ログイン(セッション接続)状態では管理モード、ログアウト状態では一般というのが普通ですので、その時点で切り分けはできていると思われますがいかがでしょうか。 長文失礼いたしました。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/images/related_qa/c205_1_thumbnail_img_sm.png)
お礼
詳しくアドバイスいただき、ありがとうございます。 今回、カスタマイズが入り、 以前できていたIPからでもドメイン名からでもアクセス可能(どちらかに統一することは条件でしたが)だったのが いきなり、「IPからのみログイン可能」といわれたので、「何故?」と思った次第です。 エンドユーザは、今まで通り、ドメイン名で作業をするのがわかっていますので慌てました。(クライアントパソコンのデスクトップに貼り付けているショートカットを使うので) 質問させていただいた後、ソフト会社とのやりとりで IP、ドメインどちらからでも可能(ログイン時のアクセス方法で統一)ということがわかりました。 日本語は難しいですね。 「ドメイン名でのみアクセス可能」の裏には、「IPまたは・・・」という文字があったようです。 まだまだWEBは奥が深くて理解するまでにはたくさんの勉強と経験が必要のようです。 わかりやすく説明いただき、ありがとうございました! また何かありましたら、よろしくお願いいたします。