まつもと ゆきひろです

In message "Re: [ruby-list:40410] Re: 1.8のcgi/session.rb"
    on Tue, 14 Dec 2004 03:59:05 +0900, Masayoshi Takahashi <maki / rubycolor.org> writes:

|> 基本的に[ruby-list:40368]におけるTietewさんのアイディアと同
|> じですよね。
|
|> その場合、[ruby-list:40388]についてどう思いますか。
|
|セッションが存在するかどうかだけではなく、セッションに期待した
|値が入っていることを確認するべきだと思います。
|たとえばIDとパスワードによる認証(ログイン)であれば、
|セッション内にログインIDを保存します。このログインIDがなければ
|ログインしていない(認証されていない)のがわかるわけです。
|新規にセッションIDが作られた場合はもちろんこのログインIDが
|保存されていないので、認証が行われていないことがわかり、
|その場合はログインページに飛ばしたりします。
|わざわざログインIDを取得するのは面倒、と思われるかもしれま
|せんが、ログイン処理時にログインIDを取得するのは必須なはずな
|ので、特に手間が増えるわけではありません。また、よりセキュア
|にしたい処理は、再度パスワードを手で入力させることもできます。

ということは、まとめると(デフォルトでは)[ruby-list:40368]の
ように強制的に新しいセッションを開始しちゃうのがよさそうとい
うことなんでしょうか。