クッキーのセッションID削除とTomcatのセッション破棄したときの動きの違い

クッキーのセッションIDを削除したときと、アプリケーションサーバー(Tomcat)が持つセッションを破棄したときの動きの違いを確かめてみました。

実行環境
OS: ubuntu 20.04 LTS
Java: OpenJDK 1.8
Tomcat: ver 9.0.65

クッキーの内容とセッションIDを表示するServletです。

※テキストエディタの画像を貼り付けたのでソースコードは最後に記載しておきます。

これをブラウザで実行したときの結果です。初回アクセスのためクッキーにはまだセッションIDが設定されていません。Tomcatが発行したセッションIDは表示されています。

もう一度、同じURLにアクセスします。クッキーにも同じセッションIDが設定されました。

クッキーの内容を削除するServletです。

※ソースコードは最後に記載しておきます。

クッキーの削除ですが、クッキーの生存期間をゼロにすることで削除します。

ブラウザで実行したときの結果です。クッキーに設定されいていたJSESSIONIDが削除されました。

クッキーの内容とセッションIDを表示させてみます。

クッキーに設定されているセッションIDを削除したので新しいセッションIDになるのかと思ったのですが、そうでもないようです。削除したはずのセッションIDがクッキーに設定されていました。おそらくですが、Tomcatが管理しているセッションIDをクッキーに再設定していると思われます。

セッションを破棄するServletです。

※ソースコードは最後に記載しておきます。

ブラウザで実行したときの結果です。セッションが削除されました。

クッキーの内容とセッションIDを表示させてみます。クッキーは前回と同じセッションIDとなっていますが、Tomcatが管理するセッションは新しいIDとなっています。

もう一度、同じURLにアクセスします。

クッキーのセッションIDも新しいものになりました。クッキーが保持していたセッションIDはすでに破棄されたものであるため、新しいセッションIDをTomcatがクッキーに再設定したようです。

ちなみにですが、Tomcatのセッションの保持期間はweb.xmlに記載します。session-configタグのsession-timeoutに分単位で記載します。デフォルトでは30分です。session-timeoutに-1を設定するとセッションは無期限で保持されます。


<web-app ..
	:
	<session-config>
		<session-timeout>30</session-timeout>
	</session-config>
	:
</web-app>

使用したソースを載せておきます。

Show.java


package sample4;

import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletException;
import javax.servlet.http.*;
import javax.servlet.annotation.WebServlet;

@WebServlet(urlPatterns={"/sample4/show"})
public class Show extends HttpServlet {

	public void doGet (
		HttpServletRequest request, HttpServletResponse response
		) throws ServletException, IOException {
	
		response.setContentType("text/html; charset=UTF-8");
		PrintWriter out = response.getWriter();

		out.println("<!DOCTYPE html>");
		out.println("<html>");
		out.println("<head>");
		out.println("<meta charset='UTF-8'>");
		out.println("<title>Show</title>");
		out.println("</head>");
		out.println("<body>");
		
		out.println("クッキーの表示<br>");		
		Cookie[] cookies = request.getCookies();
		if (cookies != null) {
			for (Cookie cookie : cookies) {
				String name = cookie.getName();
				String value = cookie.getValue();
				out.println(name + " : " + value + "<br>");
			}
		}
		
		out.println("セッションの表示<br>");
		HttpSession session = request.getSession();
		out.println("Session ID : "+ session.getId() +"<br>");

		out.println("</body>");
		out.println("</html>");
	}
}

CookieRemove.java


package sample4;

import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletException;
import javax.servlet.http.*;
import javax.servlet.annotation.WebServlet;

@WebServlet(urlPatterns={"/sample4/cookieremove"})
public class CookieRemove extends HttpServlet {

	public void doGet (
		HttpServletRequest request, HttpServletResponse response
		) throws ServletException, IOException {

		response.setContentType("text/html; charset=UTF-8");	
		PrintWriter out = response.getWriter();

		out.println("<!DOCTYPE html>");
		out.println("<html>");
		out.println("<head>");
		out.println("<meta charset='UTF-8'>");
		out.println("<title>Cookie Remove</title>");
		out.println("</head>");
		out.println("<body>");
		
		Cookie[] cookies = request.getCookies();
		if ( cookies != null ) {
			for ( Cookie cookie : cookies ) {
				cookie.setMaxAge(0);
				response.addCookie(cookie);
				out.println( cookie.getName() + "を削除<br>" );
			}
		}

		out.println("</body>");
		out.println("</html>");
	}
}

SessionRemove.java


package sample4;

import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletException;
import javax.servlet.http.*;
import javax.servlet.annotation.WebServlet;

@WebServlet(urlPatterns={"/sample4/sessionremove"})
public class SessionRemove extends HttpServlet {

	public void doGet (
		HttpServletRequest request, HttpServletResponse response
		) throws ServletException, IOException {

		response.setContentType("text/html; charset=UTF-8");	
		PrintWriter out = response.getWriter();

		out.println("<!DOCTYPE html>");
		out.println("<html>");
		out.println("<head>");
		out.println("<meta charset='UTF-8'>");
		out.println("<title>Session Remove</title>");
		out.println("</head>");
		out.println("<body>");

		HttpSession session = request.getSession();
		session.invalidate();
		out.println( "Session ID を削除<br>" );

		out.println("</body>");
		out.println("</html>");
	}
}

コメントを残す

メールアドレスが公開されることはありません。