4.3.2 セッション・キー方式
クライアントに対するセッションを識別するため、セッションの作成時に一意のセッション・キーが各セッションに割り当てられます。このセッション・キーはブラウザーに送り返されます。
ブラウザーは、ある要求が特定のセッションに属していることを示すために、各要求ごとにセッション・キーをサーバーに渡さなければなりません。このセッション・キーの受け渡しは、アプリケーションの残りの部分に透過的に行われます。
WAMでは、ブラウザーでセッション・キーを管理するための3つの方法をサポートしています。
1. 各ページに返される非表示フィールドに格納する方法
2. URLに渡す方法
3. ブラウザーのメモリーに保持されるCookieに格納する方法。この場合は、標準CookieとセキュアCookieのどちらを使用するかを選択できます。セキュアCookieを選択した場合は、SSL (HTTPS)接続でのみセッション・キーの受け渡しが可能になるので、セッション・キーの漏洩の危険を回避できます。言い換えれば、セキュアCookieのメカニズムを使用するアプリケーションは、HTTPSプロトコルでブラウザーに接続する必要があります。
この中で最も安全なのは、3つ目のセキュアCookieを使用する方法で、視覚的な盗用もプログラミングの盗用も非常に困難になります。
jQuery Mobile では、非表示フィールドのセッション・キー方式は作動しません。これは、ページ全体の更新なしにページがロードされるからです。代わりにURL または Cookie 方式を使用してください。