ブラウザタブでセッションを区別するにはどうすればよいですか？

JSPとサーブレットを使用してJavaで実装されたWebアプリケーション。ユーザーセッションに情報を保存すると、この情報は同じブラウザのすべてのタブから共有されます。ブラウザタブでセッションを区別するにはどうすればよいですか？この例では：

<%@page language="java"%>
<%
String user = request.getParameter("user");
user = (user == null ? (String)session.getAttribute("SESSIONS_USER") : user);
session.setAttribute("SESSIONS_USER",user);
%>
<html><head></head><body>
<%=user %>
<form method="post">
User:<input name="user" value="">
<input type="submit" value="send">
</form>
</body></html>

このコードをjspページにコピーし（testpage.jsp）、このファイルをサーバー上のWebアプリケーションの既存のコンテキストにデプロイし（私はApache Tomcatを使用）、正しいURLを使用してブラウザー（FF、IE7またはOpera）を開きます（localhost/context1/testpage.jsp）、タイプ入力であなたの名前を入力し、フォームを送信します。次に、同じブラウザーで新しいタブを開くと、新しいタブに自分の名前（セッションから取得）が表示されます。ブラウザーのキャッシュに注意してください。時々発生しないように見えますが、キャッシュにあるため、2番目のタブを更新してください。

ありがとう。

HTML5 SessionStorage（window.sessionStorage）を使用できます。ランダムなIDを生成し、ブラウザータブごとにセッションストレージに保存します。次に、各ブラウザタブには独自のIDがあります。

sessionStorageを使用して保存されたデータは、2つのタブの両方に同じドメインからのWebページが含まれている場合でも、ブラウザーのタブ間で保持されません。つまり、sessionStorage内のデータは、呼び出しページのドメインとディレクトリだけでなく、ページが含まれているブラウザのタブにも限定されます。これを、タブ間でデータを保持するセッションCookieと比較してください。

サーバー側セッションはHTTPの人工的なアドオンであることを理解する必要があります。HTTPはステートレスであるため、サーバーは、要求が、知っている特定のユーザーに属し、セッションを持っていることを何らかの方法で認識する必要があります。これを行うには2つの方法があります。

• クッキー。よりクリーンでより一般的な方法ですが、1人のユーザーによるすべてのブラウザのタブとウィンドウがセッションを共有することを意味します-IMOこれは実際に望ましいです。新しいタブごとにログインするサイトで私は非常にイライラします。タブを非常に集中的に使用する
• URLの書き換え。サイト上のURLには、セッションIDが追加されています。これはより手間がかかりますが（サイト内部リンクがある場所ならどこでも何かを行う必要があります）、リンクを介して開いたタブは引き続きセッションを共有しますが、異なるタブで別々のセッションを作成できます。また、ユーザーがサイトにアクセスするときは、常にログインする必要があります。

とにかく何をしようとしていますか？タブに個別のセッションを持たせたいのはなぜですか？セッションをまったく使用せずに目標を達成する方法はありますか？

編集： テストのために、別のVMで複数のブラウザーインスタンスを実行するなど、他のソリューションを見つけることができます。1人のユーザーが同時に異なる役割で行動する必要がある場合は、「役割」の概念をアプリで処理して、1つのログインが複数の役割を持つことができるようにする必要があります。Cookieベースのセッションでブラウザのタブを個別に処理することは単純に不可能であるため、URLの書き換えを使用するか、現在の状況で生活するだけでよいかを判断する必要があります。

window.name JavaScriptプロパティは、タブアクティビティ全体で持続する唯一のものですが、（URLガフの代わりに）独立したままにできます。

すべきではない。そのようなことをしたい場合は、その場でURLを書き込むことにより、ユーザーにアプリケーションの単一のインスタンスを使用するように強制する必要があります。同様に、sessionIDを使用し（sessionidは機能しません）、すべてのURLに渡します。

なぜそれが必要なのかはわかりませんが、完全に使用できないアプリケーションを作成する必要がない限り、それを行わないでください。

新しいソリューションを思いついたので、オーバーヘッドはわずかですが、これまでのところプロトタイプとして機能しているようです。タブを切り替えるたびにパスワードを再要求することでこれを適応させることができますが、1つの仮定は、ログインのための名誉あるシステム環境にいることです。

localStorage（または同等のもの）とHTML5ストレージイベントを使用して、新しいブラウザータブがアクティブなユーザーを切り替えたことを検出します。その場合は、現在のウィンドウを使用できないことを示すメッセージでゴーストオーバーレイを作成します（または、一時的にウィンドウを無効にすると、このウィンドウを目立たせたくない場合があります）。ウィンドウが再びフォーカスを取得したら、AJAXリクエストログを送信します。ユーザーが戻ってきました。

このアプローチの1つの注意点：通常のAJAX呼び出し（つまり、セッションに依存する呼び出し）は、フォーカスのないウィンドウ（たとえば、遅延後に呼び出しが発生した場合）では発生しません。その前に手動でAJAX再ログイン呼び出しを行います。したがって、実際に必要なことは、AJAX関数を最初にチェックしてlocalStorage.currently_logged_in_user_id === window.yourAppNameSpace.user_idを確認し、そうでない場合は最初にAJAX経由でログインすることです。

もう1つは競合状態です。ウィンドウを十分に速く切り替えて混乱させると、relogin1-> relogin2-> ajax1-> ajax2シーケンスになり、ajax1が間違ったセッションで作成される可能性があります。これを回避するには、ログインAJAXリクエストをアレイにプッシュしてからストレージに格納し、新しいログインリクエストを発行する前に、現在のすべてのリクエストを中止します。

注意すべき最後の問題は、ウィンドウの更新です。AJAXログインリクエストがアクティブであるが完了していないときに誰かがウィンドウを更新すると、間違った人の名前でウィンドウが更新されます。この場合、非標準のbeforeunloadイベントを使用して、潜在的な混同についてユーザーに警告し、AJAXログイン要求を再発行している間にキャンセルをクリックするようにユーザーに要求できます。次に、リクエストが完了する前に[OK]をクリックする（または、OKは-この場合は残念ながらデフォルト-であるため、誤ってEnterキーまたはスペースバーを押す）ことで、ユーザーはそれを妨害できます。このケースを処理する方法は他にもあります。 F5およびCtrl + R / Alt + Rの押下を検出します。これはほとんどの場合に機能しますが、ユーザーのキーボードショートカットの再構成または代替のOSの使用によって妨害される可能性があります。しかし、これは実際には少しエッジケースです。最悪のシナリオは決して悪くありません。名誉あるシステム構成では、間違った人物としてログインします（ただし、色、スタイル、目立つように表示される名前でページをパーソナライズすることで、これが事実であることを明確にすることができます。等。）; パスワード設定では、ログアウトまたはセッションを共有するためにパスワードを最後に入力した人に責任があります。または、この人が実際に現在のユーザーである場合、違反はありません。

しかし、最終的には、タブを1ユーザー1人で使用できるアプリケーションがあり、（うまくいけば）必ずしもプロファイルを設定したり、IEを使用したり、URLを書き換えたりする必要はありません。ただし、特定のタブにログインしている各タブでそれを明確にしてください...

私たちはこの問題を抱えていて、それを非常に簡単に解決しました。プログラミングが必要ないので簡単です。私たちがやりたかったのは、セッションを競合させることなく、ユーザーが同じブラウザウィンドウ内の複数のアカウントにログインできるようにすることでした。

したがって、解決策はランダムなサブドメインでした。

23423.abc.com
242234.abc.com
235643.abc.com

そこで、システム管理者にabc.comではなく* .abc.comのSSL証明書を構成するように依頼しました。コードを少し変更するだけで、ユーザーがログインしようとするたびに、ランダムなサブドメイン番号のタブにログインします。そのため、各タブは独自に独自のセッションを持つことができます。また、競合を回避するために、ユーザーIDのハッシュまたはmd5を使用して乱数を開発しました。

ここで正直になります。。。すべて上記のは本当かであってもなくてもよいが、それはすべてのようだWAYを複雑すぎる、またはアドレス]タブを使用したサーバー側されているものを知っていません。

Occamのかみそりを適用する必要がある場合があります。

Occamのアプローチは次のとおりです。（いいえ、私はOccamではありません。彼は1347年に亡くなりました）。

1）ロード時にページにブラウザー固有のIDを割り当てます。。。ウィンドウにまだIDがない場合（そのため、プレフィックスと検出を使用します）

2）（グローバルファイルなどを使用して）すべてのページにコードを配置するだけで、フォーカスイベントやマウスオーバーイベントを検出できます。（コードの記述を簡単にするために、この部分にはjqueryを使用します）

3）フォーカス（またはマウスオーバー）関数で、window.nameを含むCookieを設定します

4）タブ固有のデータの読み取り/書き込みが必要な場合は、サーバー側からそのCookie値を読み取ります。

クライアント側：

//Events 
$(window).ready(function() {generateWindowID()});
$(window).focus(function() {setAppId()});
$(window).mouseover(function() {setAppId()});


function generateWindowID()
{
    //first see if the name is already set, if not, set it.
    if (se_appframe().name.indexOf("SEAppId") == -1){
            "window.name = 'SEAppId' + (new Date()).getTime()
    }
    setAppId()
}

function setAppId()
{
    //generate the cookie
    strCookie = 'seAppId=' + se_appframe().name + ';';
    strCookie += ' path=/';

    if (window.location.protocol.toLowerCase() == 'https:'){
        strCookie += ' secure;';
    }

    document.cookie = strCookie;
}

サーバー側（C＃-例）

//variable name 
string varname = "";
HttpCookie aCookie = Request.Cookies["seAppId"];
if(aCookie != null) {
     varname  = Request.Cookies["seAppId"].Value + "_";
}
varname += "_mySessionVariable";

//write session data 
Session[varname] = "ABC123";

//readsession data 
String myVariable = Session[varname];

できました。

リンク書き換えを使用して、単一のページ（たとえば、index.html / jsp / whatever）から開始するときに、すべてのURLに一意の識別子を追加できます。ブラウザはすべてのタブに同じCookieを使用するため、Cookieに入力するすべてが一意になるわけではありません。

おそらく、タブごとにナビゲーション状態を維持し、タブごとに1つのセッションを作成するのではなく、これはまさにSeamフレームワークが彼らのConversationスコープ/コンテキストで達成するものです。それらの実装は、会話IDが各要求と共に伝播され、サーバー側での会話の概念を作成するという事実に依存しています。これは、セッションと要求の間にあるものです。ナビゲーションフロー制御と状態管理を可能にします。

それは主にJSFを目的としていますが、それがあなたがいくつかのアイデアを得ることができる何かであるかどうかを見て、チェックしてください：http : //docs.jboss.org/seam/latest/reference/en-US/html_single/#d0e3620

JavaScriptでは、同じcookiedベースのセッションIDの下にある別のブラウザウィンドウをどのように一意に識別することができますか

基本的にwindow.nameを使用します。設定されていない場合は、一意の値に設定して使用してください。同じセッションに属するタブ間で異なります。

機能する別のアプローチは、一意のウィンドウIDを作成し、この値をセッションIDとともにデータベーステーブルに格納することです。私がよく使用するウィンドウIDは整数（現在）です。この値は、ウィンドウが開かれたときに作成され、ウィンドウが更新、再ロード、または自分自身に送信された場合に、同じウィンドウに再割り当てされます。ウィンドウの値（入力）は、リンクを使用してローカルテーブルに保存されます。値が必要な場合は、ウィンドウID /セッションIDリンクに基づいてデータベーステーブルから取得されます。このアプローチはローカルデータベースを必要としますが、事実上簡単です。データベーステーブルを使用するのは簡単でしたが、ローカル配列がうまく機能しない理由はわかりません。

私は最近Cookieを使用してこの問題の解決策を開発しました。これが私のソリューションへのリンクです。ASP.NETを使用したソリューションのサンプルコードも含めました。必要に応じて、これをJSPまたはServeletsに適合させることができます。

https://sites.google.com/site/sarittechworld/track-client-windows

Spring Sessionは同じブラウザーで複数のセッションをサポートしますサンプルと実装の詳細を見てください http://docs.spring.io/spring-session/docs/current/reference/html5/guides/users.html

注：ここでのソリューションは、アプリケーションの設計段階で実行する必要があります。これを後で設計するのは難しいでしょう。

非表示フィールドを使用してセッション識別子を渡す。

これが機能するには、各ページにフォームが含まれている必要があります。

<form method="post" action="/handler">

  <input type="hidden" name="sessionId" value="123456890123456890ABCDEF01" />
  <input type="hidden" name="action" value="" />

</form>

ナビゲーションを含むすべてのアクションはフォームをPOSTします（action必要に応じてを設定）。「安全でない」リクエスト、あなたは別のパラメータを含めることができ、提出するデータのJSON値を含む言います：

<input type="hidden" name="action" value="completeCheckout" />
<input type="hidden" name="data" value='{ "cardNumber" : "4111111111111111", ... ' />

Cookieがないため、各タブは独立しており、同じブラウザの他のセッションを認識しません。

特にセキュリティに関しては、多くの利点があります。

• JavaScriptやHTML5に依存しません。
• 本質的にCSRFから保護します。
• Cookieに依存しないため、POODLEから保護します。
• セッションの固定に対して脆弱ではありません。
• 戻るボタンの使用を防ぐことができます。これは、ユーザーにサイト内の設定されたパスをたどるときに望ましいです（つまり、順序の乱れた要求によって攻撃される可能性のあるロジックバグを防ぐことができます）。

いくつかの欠点：

• 戻るボタン機能が必要な場合があります。
• すべてのアクションがPOSTであるため、キャッシングではあまり効果的ではありません。

詳細はこちら。

私はこれを次の方法で解決しました：

• ウィンドウに名前を割り当てました。この名前は接続リソースと同じです。
• アタッチ接続のためにcookieに保存されているプラ​​ス1。
• すべてのxmloutput応答をキャプチャし、sidとridをjson形式でcookieに割り当てる関数を作成しました。これをwindow.nameごとに行います。

ここにコード：

var deferred = $q.defer(),
        self = this,
        onConnect = function(status){
          if (status === Strophe.Status.CONNECTING) {
            deferred.notify({status: 'connecting'});
          } else if (status === Strophe.Status.CONNFAIL) {
            self.connected = false;
            deferred.notify({status: 'fail'});
          } else if (status === Strophe.Status.DISCONNECTING) {
            deferred.notify({status: 'disconnecting'});
          } else if (status === Strophe.Status.DISCONNECTED) {
            self.connected = false;
            deferred.notify({status: 'disconnected'});
          } else if (status === Strophe.Status.CONNECTED) {
            self.connection.send($pres().tree());
            self.connected = true;
            deferred.resolve({status: 'connected'});
          } else if (status === Strophe.Status.ATTACHED) {
            deferred.resolve({status: 'attached'});
            self.connected = true;
          }
        },
        output = function(data){
          if (self.connected){
            var rid = $(data).attr('rid'),
                sid = $(data).attr('sid'),
                storage = {};

            if (localStorageService.cookie.get('day_bind')){
              storage = localStorageService.cookie.get('day_bind');
            }else{
              storage = {};
            }
            storage[$window.name] = sid + '-' + rid;
            localStorageService.cookie.set('day_bind', angular.toJson(storage));
          }
        };
    if ($window.name){
      var storage = localStorageService.cookie.get('day_bind'),
          value = storage[$window.name].split('-')
          sid = value[0],
          rid = value[1];
      self.connection = new Strophe.Connection(BoshService);
      self.connection.xmlOutput = output;
      self.connection.attach('bosh@' + BoshDomain + '/' + $window.name, sid, parseInt(rid, 10) + 1, onConnect);
    }else{
      $window.name = 'web_' + (new Date()).getTime();
      self.connection = new Strophe.Connection(BoshService);
      self.connection.xmlOutput = output;
      self.connection.connect('bosh@' + BoshDomain + '/' + $window.name, '123456', onConnect);
    }

私はあなたを助けたいと思います

同じことをしたいと思ったので、この投稿を読んでいます。私が取り組んでいるアプリケーションについても同様の状況があります。そして実際、それは実用性以上のテストの問題です。

これらの回答、特にMichael Borgwardtからの回答を読んだ後、私は存在する必要のあるワークフローに気づきました。

1. ユーザーがログイン画面に移動した場合は、既存のセッションを確認してください。存在する場合は、ログイン画面をバイパスして、ようこそ画面に送信します。
2. ユーザー（私の場合）が登録画面に移動する場合は、既存のセッションを確認します。セッションが存在する場合は、そのセッションからログアウトすることをユーザーに知らせます。同意した場合は、ログアウトして登録を開始します。

これにより、ユーザーのセッションで「別のユーザー」のデータが表示される問題が解決されます。彼らは実際に自分のセッションで「別のユーザー」のデータを見ているのではなく、開いている唯一のセッションからのデータを実際に見ています。一部の操作が一部のセッションデータを上書きし、他のセッションデータを上書きしないため、この1つのセッションでデータの組み合わせが存在するため、これは明らかに興味深いデータの原因になります。

次に、テストの問題に対処します。実行可能な唯一のアプローチは、プリプロセッサディレクティブを活用することです。、Cookieのないセッションを使用する必要があるかどうかを判断することです。特定の環境に特定の構成を組み込むことで、環境とその用途についていくつかの仮定を立てることができます。これにより、技術的には2人のユーザーが同時にログインでき、テスターはそれらのサーバーセッションからログアウトせずに、同じブラウザーセッションから複数のシナリオをテストできます。

ただし、このアプローチにはいくつかの重大な注意事項があります。特に重要なのは、テスターがテストしているのが本番環境で実行されるものではないという事実です。

だから私は言わざるを得ないと思います、これは最終的に悪い考えです。

まだ設定されていない場合は、timeStampをwindow.sessionStorageに格納します。これにより、各タブに一意の値が与えられます（URLが同じであっても）

http://www.javascriptkit.com/javatutors/domstorage.shtml

https://developer.mozilla.org/en-US/docs/Web/Guide/API/DOM/Storage

お役に立てれば。

How to differ sessions in browser-tabs?

ブラウザのタブでセッションを変える最も簡単な方法は、特定のドメインがCookieを設定できないようにすることです。そうすることで、別々のタブから別々のセッションを持つことができます。このドメイン（www.xyz.com）からのCookieを禁止するとします。タブ1を開いてログインし、閲覧を開始します。次に、タブ2を開き、同じユーザーまたは別のユーザーとしてログインできます。どちらの場合も、タブ1とは別のセッションになります。

しかしもちろん、これはクライアント側を制御できる場合に可能です。そうでなければ、ここで人々によって規定された解決策が適用されるべきです。

あなたがする必要があります

1-アカウントリストのCookieを保存する

2-オプションで、デフォルトのCookieを保存します

3-アカウントごとに、acc1、acc2のようなインデックスを持つストア

4-何かをアカウントのインデックスを表すURLに入れます。そうでない場合は、google mail domain.com/0/some-urlのようなデフォルトのものを選択します>> 0ここでアカウントのインデックスを表します。また、方法を知る必要があるかもしれません。 urlwriteを使用する

5- Cookieを選択するとき、URLパスに応じて選択し、アカウントインデックスを表します

よろしく

セッションIDのCookieを操作するためにクライアント側に変更を加えた実装がたくさんあります。ただし、一般にセッションIDのCookieはHttpOnlyである必要があるため、JavaScriptがアクセスできないため、XSSを介したセッションハイジャックにつながる可能性があります。

各タブがアプリケーションで異なるフローを実行するためであり、両方のフローを混合すると問題が発生する場合は、セッションオブジェクトを「リージョン化」して、各フローがセッションの異なる領域を使用するようにすることをお勧めします。

このリージョンは、フローごとに異なるプレフィックスを持つように簡単に実装できます。または、セッションオブジェクトが複数のマップ（フローごとに1つ）を保持し、セッション属性の代わりにそれらのマップを使用します。ただし、セッションクラスを拡張し、代わりに使用してください。