セッション情報の保存方法は二通りある。
サーバーサイドに保存
- セッション情報はセッションファイルやRedisなどに保存し、そのsession_idをブラウザのCookieに保存する
- リクエスト時にはサーバサイドでsession_idからセッション情報を取り出す
クライアントサイドに保存
- セッション情報(user_idを含む)はクッキー(やLocalStorage)にJWT形式で保存 (参考)
- サーバサイドでこれをdecryptできた時点で、そこに含まれるuser_idのuserだと信用する
問題点
- サーバサイドにおいてセッションを無効化するが術がない
参考