追跡、監査、最適化:4Dウェブセッションをコントロールする
スケーラブルセッションの導入以来、サーバーサイドのセッション管理は最新の4Dアーキテクチャの重要なコンポーネントとなっている。これらのセッションは、Webアプリケーションのきめ細かなスケーラビリティを可能にしますが、パフォーマンス、安定性、ライセンス管理を保証するために、より厳しい監視も必要とします。4D 21では、REST接続、SOAPコール、4DACTIONリクエストのいずれから発生したものであっても、すべてのオープンなWebセッションを検査する包括的な手段を手に入れることができます。
Webセッションのワンタイムパスワード (OTP) の使い方
今日、Webアプリケーションは私たちの生活に欠かせないものとなり、時間を節約し、日々の業務を簡素化する便利な機能を提供しています。たとえば、様々なプラットフォームでアカウントを作成することは、Webサイト上で最も頻繁におこなわれるユーザーアクションの一つといえます。
自宅でも、通勤中でも、ビーチでくつろいでいるときでも、このようなプロセスは手軽に完了できることが期待されています。
しかし、シンプルさの裏には、より複雑な現実があります。このような操作には、電子メール認証サービスなど、サードパーティのシステムとの連携が必要になることが多いため、セキュリティ、ユーザー体験の継続性、中間者攻撃 (MitM攻撃) からの保護に関する課題が生じます。
デベロッパーにとって、スムーズなユーザー体験を保証することは、外部システムと 4D Webセッション間のやりとりを管理することを意味します。これには、ユーザーのコンテキストを維持すること、つまりデータや権限、プロセスをどこまで完了したかといった情報を再取得することが含まれます。
複雑そうですね? 実際にはそうでもありません! 4D 20 R9 で、サードパーティーシステムと安全かつ効率的に通信する堅牢な Webアプリケーションを構築する方法をご覧ください。
Qodly Studio for 4D による 4Dクライアントライセンス消費方法の改善
Qodly Studio for 4D を使い始めた方は、ビジネスWebアプリケーションの開発をするのにこの新しいツールがどれだけパワフルかすでにご存知でしょう。まだ使い始めていない方は、こちらをご覧ください。
Qodly Studio for 4D で作られたアプリケーションは、REST API に依存しています。4D 20 R5 には素晴らしい新機能が搭載されています: “強制ログイン” モードです。
強制ログインモードでは、ユーザーがログインに成功し、アプリケーションのデータやロジックを操作し始めた時のみ、4Dクライアントのライセンスが消費されます。
続きをお読みください! デモのダウンロードもお忘れなく!
スケーラブルなウェブセッションによるサーバー上でのデバッグ
スケーラブルWebセッションは、4D v18 R6でもたらされた重要な改良点です。これにより、4Dタグ、4Dアクション、REST APIを、4Dサーバー上で、インタプリタモードでも、プリエンプティブなプロセスで使用することができるようになりました。しかし、このようなプログラムをデバッグするには、プリエンプティブプロセスではデバッガーウィンドウを開くことができないため、サーバー上で開発環境を開き、協調モードに切り替えさせる必要があったのです。このように、v19 R2までは、REST、4Dアクション、4Dタグのデバッグが可能でした。v19 R3からは、これらすべてが簡単になり、通常通りデバッガをアタッチするだけでサーバーサイドのデバッグができるようになりました。
cookie の新しい SameSite属性 と Secure属性
Cookie の機能は長年にわたって成長し、進化してきましたが、いくつかのレガシー問題を残しています。これに対処するため、ブラウザー (Safari、Chrome、Firefox、Edge を含む) は、SameSite属性と Secure属性に関する動作を、cookie の secure-by-default モデルのために変更しています。
4D Webデベロッパーとして、クロスサイトリクエストフォージェリ からアプリケーションを守りたい場合、4D Webセッションの セッションcookie について懸念されるかもしれません。
Webセッションcookie が Web上で無意味に流通したり、適用されたデフォルト値のためにブラウザーに誤解されたりするのを防ぐためには、cookie の種別を確認すべきです:
- サードパーティーcookie: 訪問したページとは異なるドメイン名に関連付けられた cookie。サードパーティーcookie は、ページをホストしているドメイン以外のドメインから供給されたページオブジェクト (広告など) によって設定されます。
または
- ファーストパーティーcookie: 訪問したページのドメインに関連づけられた cookie。
ケースに応じて、Webセッションcookie の SameSite 属性に適切な値 を選択する必要があります。
セキュリティを強化するためには、接続がセキュア (HTTPS) であるときに Webセッションcookie に Secure属性を設定し、cookie が安全に送信できることをブラウザーに示す必要があります。
Web上のプライバシーとセキュリティを向上させるために、4D がどのように役立つかを続けて説明します。
高度な Webアプリケーションに対応したスケーラブルセッション
Webアプリケーションは現代に不可欠なツールです。マシンとプロセッサーがより強力になるにつれ、Webアプリケーションは常にパフォーマンス要件を満たさなくてはなりません。4D v18 R6 で、4D Webサーバーが新しいタイプの Webセッション、スケーラブル Web セッション を提供するのはこのためです。
では、詳しく見ていきましょう。
4D RESTセッションの理解を深める
以前のブログ記事で、4D RESTサーバを始める方法を紹介しました。Postmanを使った様々なCRUDオペレーションを紹介し、RESTの完全なドキュメントを紹介しました。今回のブログでは、4Dでセッションがどのように機能するかを説明します。この理解によって、4D RESTサーバを使用してセッションベースの認証システムを構築することができるようになります。