4.3.2 セッション・キー方式

クライアントに対するセッションを識別するため、セッションの作成時に一意のセッション・キーが各セッションに割り当てられます。このセッション・キーはブラウザーに送り返されます。

ブラウザーは、ある要求が特定のセッションに属していることを示すために、各要求ごとにセッション・キーをサーバーに渡さなければなりません。このセッション・キーの受け渡しは、アプリケーションの残りの部分に透過的に行われます。

WAMでは、ブラウザーでセッション・キーを管理するための3つの方法をサポートしています。

1.  各ページに返される非表示フィールドに格納する方法

2.  URLに渡す方法

3.  ブラウザーのメモリーに保持されるCookieに格納する方法。この場合は、標準CookieとセキュアCookieのどちらを使用するかを選択できます。セキュアCookieを選択した場合は、SSL (HTTPS)接続でのみセッション・キーの受け渡しが可能になるので、セッション・キーの漏洩の危険を回避できます。言い換えれば、セキュアCookieのメカニズムを使用するアプリケーションは、HTTPSプロトコルでブラウザーに接続する必要があります。

この中で最も安全なのは、3つ目のセキュアCookieを使用する方法で、視覚的な盗用もプログラミングの盗用も非常に困難になります。

jQuery Mobile では、非表示フィールドのセッション・キー方式は作動しません。これは、ページ全体の更新なしにページがロードされるからです。代わりにURL または Cookie 方式を使用してください。