<p>新卒研修でやった内容を軽くまとめたもの</p>
<h2 id="cookie"><a aria-hidden="true" tabindex="-1" href="#cookie"><span class="icon icon-link"></span></a>Cookie</h2>
<p>Cookie = サーバーから送られるデータ、ブラウザに保存される</p>
<ul>
<li><strong>HTTP に状態を持たせることができる</strong>
<ul>
<li>「これはログイン後のやりとりだよ〜」とか
<ul>
<li>ID、パスワードの 2 つが保存されていればできる</li>
<li>ユーザーに再度入力させる必要がなくなる</li>
</ul>
</li>
</ul>
</li>
<li>簡単に見える + 書き換えもできる
<ul>
<li>パスワードなどの秘密情報は扱えない</li>
</ul>
</li>
</ul>
<h2 id="session"><a aria-hidden="true" tabindex="-1" href="#session"><span class="icon icon-link"></span></a>Session</h2>
<p>Session = Cookie を使いつつ、安全に HTTP に状態を持たせる方法</p>
<ul>
<li>ユーザーの状態に紐づく ID のみを Cookie として扱う
<ul>
<li>サーバー側では、ID に対応する状態を保持する
<ul>
<li>データはログアウト時などに破棄される</li>
</ul>
</li>
<li>パスワードなどを見られたり、改変されたりする可能性は低くなる</li>
</ul>
</li>
<li>ID としては推測されにくいランダムに生成された値を使う</li>
<li>セッションハイジャック
<ul>
<li>セッション ID をネットワークなどから盗まれること</li>
<li>ログイン状態が奪われ、様々な情報が閲覧されてしまう
<ul>
<li>セッションも万能ではない</li>
</ul>
</li>
<li><strong>HTTPS とか Cookie の Secure フラグは必須</strong></li>
</ul>
</li>
</ul>

新卒研修で扱ったCookieとSessionの基礎のメモ