[Seasar-user:21442] Re: [SAStruts]トランザクショントークンについての質問

riot-going-on [E-MAIL ADDRESS DELETED]
2012年 8月 31日 (金) 17:56:04 JST


ide様

ありがとうございます。

複数のタブで運用する事が必須ではないのですが、そのように使われる可能性があるために、
その場合にトークンエラーが出るのを避けたいという希望があります。

コモンブラウザで複数タブでのセッションが上書きされる仕様の件は承知しておりますが、登録フォームごとにトークン値が保存されているセッション変数のセッションキーさえ変更できれば共存させられるので、可能であればその方法で実装したいと考えた次第でございます。

もう少し方法を探りたいと思います。

ありがとうございました。


2012年8月31日 16:56 ide <kang1yan4 @ gmail.com>:
> ideと申します。
>
> あまり聞いたことがないですが、作っておられるのは複数のタブで運用するWebアプリなのでしょうか?
> 現在出回っているブラウザーは複数タブでセッションを共有するものがほとんどのようです。
> なので、riot-going-onさんのようなWebアプリは、seasarだけでなく、他のフレームワークでも運用は難しいような気がします。
> ただ、ブラウザーによっては(IEなど)、別Windowであればセッションを共有しないで済むようです。
>
> 見当違いの回答でしたらすみません。
>
> 2012年8月31日 15:58 riot-going-on <riot-going-on @ hotmail.co.jp>:
>> こんにちは。
>>
>> トランザクショントークンについて質問です。
>>
>> 現在、SAStrutsにて複数の登録フォームが同時に運用されるアプリケーションを開発しております。
>> ActionFormのスコープをセッションにして、パラメータを受け渡しております。
>>
>> その際にセッションフィクセーション対策、二重送信対策として、TokenProcessorのトランザクショントークンを使用して対策としております。
>> この場合、Sessionのキーが
>>
>> "org.apache.struts.action.TOKEN"
>>
>> となると思いますが、先述の通り複数のフォームが同時に走るため、同一ブラウザで複数のフォームを立ち上げて並行して登録を進めた場合に、
>> トークンのSession値が上書きされてしまい、片方がエラー扱いになってしまいます。
>>
>> これについて、それぞれのActionから別のキーを指定してSessionに保存してトークンチェックを行う方法は無いでしょうか。
>>
>> ユニークなキーの指定が不可能な場合、代替として考えられる機能はあるでしょうか。
>>
>> いずれも無理な場合は、登録フォームごとに独自のワンタイムトークンの処理を実装する他ないのでしょうか。
>>
>> お分かりでしたら、お教えいただけると助かります。
>>
>> よろしくお願いいたします。
>> _______________________________________________
>> Seasar-user mailing list
>> Seasar-user @ ml.seasar.org
>> https://ml.seasar.org/mailman/listinfo/seasar-user
> _______________________________________________
> Seasar-user mailing list
> Seasar-user @ ml.seasar.org
> https://ml.seasar.org/mailman/listinfo/seasar-user
>


Seasar-user メーリングリストの案内