■■ Servlet/JSP(EJB含む) 質問スレ ■■

**nobodyさん** · 02/06/08 11:03

って無いよな？
というわけでつくたよ。

**nobodyさん** · 02/12/06 20:02

Win2000でtomcat4.0+apache1.3をmod_jk.dllで繋いでいるんですが、少々
困っていると言うか、疑問なんですけれど、web.xmlで設定した<url-pattern>が、
tomcat単体ではちゃんと反映されるのに、apache経由だと404になってしまいます。
これは正常なことなのか、はたまた僕の設定が甘いのか、ｸﾞｸﾞってもイマイチ
それらしい答えがありません。はたしてどうなんでしょうか？

**nobodyさん** · 02/12/06 20:51

>>421
ソースぐちゃぐちゃ。メンテナンス性最悪

**nobodyさん** · 02/12/07 03:45

>>423
そ、そうか？

**nobodyさん** · 02/12/07 03:50

>>407
結局、激しくインクルードファイルに分割するってことは
CGIやASPと同じくデザイナーさん泣かせなわけですね。
デザインとﾌﾟﾛｸﾞﾗﾑの分離は無理と。

**miya** · 02/12/07 08:42

>>419
419番さん、ありがとうございます。なんとか理解できました。これで先に
　すすむことができます。近いうちにまた壁にぶつかるとおもうけど・・・。
　J2EEも勉強しなくちゃいけないですね。

**バイク犬** · 02/12/08 09:12

Linux Apache 1.3.27、tomcat 4.0.4 で mod_webapps.so で連携を
計ってるのですが、やはり、DocumentRootを共有するってのは出来ないん
でしょうか？
webapps以下に、シンボリックリンクでapacheのDocumentRootを置いて
みたのですが、その場合、すべてtomcatに転送されている感じで、phpや
cgiが動きません。cgiはplain/textに、phpはmimeを吐かない書類として
実行されません。

上の方にproxyでとか、mod_jkを利用する方法なども見かけたのですが…

**nobodyさん** · 02/12/08 19:32

マルチポストしていいですか？

**webApp** · 02/12/09 01:37

WebSphereをアプリケーションサーバとしてJAVA開発を行っているものです。

複数端末でのユーザの2重ログインチェックを行いたいのですが。

ある端末Aのログイン画面で｢user001｣というユーザで
ログイン認証を行った場合、端末Aにユーザが
ログインしている間はその端末Aや
他の端末Bのログイン画面で｢user001｣というユーザで
ログイン認証を行えないようにしたいのです。

セッション変数を使用するという手もあるとおもうのですが、
１つのブラウザの範囲内でしかセッション変数の格納や取得ができないもの
と思っています。
全てのブラウザのセッション変数を管理するようなしくみなどないもので
しょうか？
なにかいい方法がございましたらご教授お願いします。

**nobodyさん** · 02/12/09 01:55

普通そういうものこそDBで管理しないだろうか（ログオン管理TBLまたは監査証跡TBLとか作って）。
DB使いたくないならStateful Session Beans。

**workaholic** · 02/12/09 03:01

>>429
俺も以前仕事でそんな処理を書いたことあるけど、
>>430 の言うように、さくっとDBで管理したよ。
つーか完全にClientが別なのに(端末Ａ,端末Ｂ)ステ付Session Beansで、
管理ってできるんだっけ？？？

**430** · 02/12/09 11:39

ごめんStateful Session Beanは勘違い。

**webApp** · 02/12/09 12:20

>>430,431
あの後、Stateful SessionBeanを調べてみましたが
どうも、別端末からは出来ないようです。
やはり、DBで管理しないといけないですか。
そうなると、ユーザがログアウトした場合を考えると
ログアウトボタンなどで正しい方法でログアウトして
くれる場合はよいのですが、ブラウザの×ボタンを押さ
れた場合、DBの情報を更新することが出来るのでしょうか。

**workaholic** · 02/12/09 12:39

>>433
javaScript使って、onUnload(あるいはonBeforeUnload)等のイベント拾って、
「ログアウト」の旨を伝える内容を、自動submit。
それ以外の方法取りたかったら、もっとキっついClientサイドの
処理書かないといけない。ActiveX使うとか。
...っつても、処理内容はjavaScriptでやるのと同じだから、意味無し。
ギャフン。

**430** · 02/12/09 13:08

タイマー使って定期的にDB調べて、一定期間アクセスがないユーザがいたらログアウト扱いで更新。
監査証跡の場合によく使う手口です。記録に残るのでタイムアウトでログアウトさせたという明確な証拠として残る。
ちなみに監査証跡にするんだったら、ユーザの１つ１つのアクションすべてに対してロギングするよ。
（いつ誰がどのページに遷移してどんな操作を行ったか、とか）

ユーザ管理（アクセス権管理やログオン制御も行う）＋監査証跡という組み合わせって一般的だと思うんだけど。

**nobodyさん** · 02/12/09 22:31

>>429
まぁ 1 台構成ならファイルでも出来るわな。File#createNewFile() はアトミック性が
保証されてるし。

1) ログイン時に適当なディレクトリに <userid>.lock ファイルを作る。ファイル
　　作成に成功すればログイン完了、失敗すれば二重ログイン扱い。

2) ロックファイルの作成に成功した場合、File#deleteOnExit() を仕掛けておく。

さらに一定時間経過したロックファイルを削除しなければならないので以下を処理が
必要。

1) ログインが完了したユーザのセッションに HttpSessionBindingListener を
　　実装したオブジェクトをぶち込んでおく。このオブジェクトは valueUnbound()
　　時に自分のロックファイルを削除する。

2) 適当なスレッドを立ててロックファイルの最終更新日から一定時間経過したもの
　　を消すようなサーブレットを作成 (この場合、リクエストのたびに
　　File#setLastModified() が必要)。このサーブレットをサーブレットコンテナの
　　スタートアップに登録。init() でロックファイルをすべて消す処理を入れておくと
　　良い。

ただ、ブラウザの×ボタンを押した時にはしばらくの間ログインできなくなるがな。
２重ログインを防止しようとすると避けられない問題。さもなくば同一 IP からの
２重ログインを許可するしかない。

**436** · 02/12/09 22:36

同一 IP からの二重ログインは i-mode みたいなラウンドロビンプロキシ使ってる
端末には無効なのであしからず。

**nobodyさん** · 02/12/10 01:48

Tomcat4.0.4、PostgreSQL7.3から配列をキャストしたいのですが

String[][] my_Array = (String[][])rs.getArray("name");

等とすると

「この型は declaration には不適合です。
　java.lang.String[][] から java.sql.Array には変換できません。」

と言われてしまいます。配列をキャストする、変換する方法ってないのでせうか？

**438** · 02/12/10 04:04

まだ実装されていない…？

**nobodyさん** · 02/12/10 04:05

Tomcat4.1.12での話しなんですけど、
JakartaのOROやLog4jなど利用しよと思うんですけど、
今はstartup.shでCLASSPATHをガツガツ追加して動かしてるんですが、
もっとスマートに導入する方法あると思うんですけど、
教えてください。

**nobodyさん** · 02/12/10 04:56

>>440
$TOMCAT_HOME/lib/
以下にjarファイルをコピ。

**nobodyさん** · 02/12/10 08:39

>>438
java.sql.Arrayのドキュメントみれ

**nobodyさん** · 02/12/10 19:23

>>441
レスどうも。
rpmでインストールしたせいか、$TOMCAT_HOME/lib/に相当する、
/var/tomcat4/libが存在しないんすよ。
とりあえず、/var/tomcat4/shared/classesに入れてみたんですけど
駄目でした・・・
自分でも怪しいとこ探してみます。
どもでした。

**nobodyさん** · 02/12/10 23:26

JSTLの式言語で ${ メソッドの呼出し } みたいなことってできないんですか? たとえば ${ java.util.List#get() }みたいなこと。

**nobodyさん** · 02/12/10 23:43

>>444

できない。というより意味がない。<%= %>でだめな理由は?
ELはJSP記述を補完するものであって完全にリプレースするものではないよ。

**nobodyさん** · 02/12/11 10:17

ファイルアップロード機能付き掲示板のソースって
どこかに落ちていない？

**nobodyさん** · 02/12/11 11:09

>>446
http://tool-ya.ddo.jp/2ch/trash-box/

**nobodyさん** · 02/12/11 17:42

Servlet＆JSPの未来は明るいのでしょうか？
来年になったら.NETに押されて過去の遺産になるとかいってるやつが
うちの近所にいるのですが、本当でしょうか？

この前雑誌で見た、ASP.NETのWEBアプリの開発の容易さは大衆受け間違いなしと思うのですが
どうでしょう？

**nobodyさん** · 02/12/11 20:46

>>448
Javaにも新しい展開が生まれていくと思われ。

少なくともフレームワークやJSP系は徐々に洗練され
始めてるでしょ。好みはそれぞれだと思うけど。

まあ、もし「.NET」が普及するんであれば、その恩恵で
かつてのVBのような展開で、糞みたいなWebアプリが次々
登場するでしょう。

※個人的にはさらに単価が安くなりそうで鬱。

**438** · 02/12/12 01:55

>>441
Array my_Array = rs.getArray("name");
String[][] my_Values = (String[][])my_Array.getArray("name");
やっぱり分かりません…

**438** · 02/12/12 01:58

>>450
レス番までも間違えました…>>442さんへ、です。

**nobodyさん** · 02/12/12 03:00

>>450
Array myArray = rs.getArray("name");
Object array = myArray.getArray();
System.out.println(array.getClass());

java.sql.Array#getArray()で返って来る実際の型を調べろ

**438** · 02/12/12 17:22

>>452
型変換の問題は何とかなりました。アリガトございます。
試しに一次元配列のSQLテーブルを作成し、

Array my_Array = rs.getArray("name");
String[] my_Values = (String[])my_Array.getArray();

と試したところ、問題なく配列を取り出せ、また、二次元配列に
SQLテーブルを作成し直して

Array my_Array = rs.getArray("name");
String[][] my_Values = (String[][])my_Array.getArray();

を試すとやはり
This method is not yet implemented.
となります…postgres.jdbc2ドライバーのせいなのかなぁ…

**438** · 02/12/12 17:32

そだ
String[] my_Values = (String[])my_Array.getArray();
から
for (int i=0; i< my_Values.length; i++) {
　for (int j=0; i< 4; j++) {
ma_Values2[i][j] = (String[])(my_Values[i]);
}
}
これならいけ…るかな…と思ったのですが、SQLテーブルが
多次元な次点で、
This method is not yet implemented.
となります…

**nobodyさん** · 02/12/14 04:54

>>454
自分で実装してcontributeしる！

**webApp** · 02/12/15 01:50

>>436
レスありがとうございます。
ロックファイルの案を参考にさせて頂きました。

EASサーバが３台構成なので、DBを使用して二重ログインチェック
を行うことにしました。

１．ログインが完了したユーザのユーザID(ユニーク)、日付をDBに登録する。
　　登録に成功すると、ユーザ認証成功、登録に失敗するとユーザ認証失敗。

２．ログイン認証が成功したユーザのセッションにHttpSessionBinding
　　Listener を実装したオブジェクトを格納しておく。
　　このオブジェクトは valueUnbound()時にユーザのユーザIDに該当する
　　DBのデータを削除する。

３．アプリケーションの画面で業務終了ボタン等のイベントで、ユーザIDに
　　該当するDBのデータを削除する。

４．ブラウザの×ボタンを押された場合は、セッションタイムアウト時に、２．
　　の処理が実行されるので、しばらく待つことになる。

**nobodyさん** · 02/12/15 08:45

>>456
業務終了って言葉が出てきたからには社内システムだと思うが、×ボタンを押した
時にしばらくその人の作業が出来なくなるのは業務的にまずくないか? あと、
それだけだと WebSphere の再起動や異常終了時にユーザロックが残ったままに
なる。３台のうち１台が異常終了した場合、その１台のセッションを使っていた
人のロックだけをはずす手順は分かるか? ロードバランサーがラウンドロビンとか
だとさらにややこしくなると思うが。

**nobodyさん** · 02/12/15 13:22

>456
2重ログインの管理については、ＤＢにログイン情報を登録するのは
良いが、セッションオブジェクトを使うのではなく、単純に、普通のクッキーを
使うのはどう？
クライアントのイベントに依存する処理は、なんか危険。

要は、再ログインをどう許すか？という話なのだから、

１．ログイン時にユーザーに対してクッキーを発行
　　期間は、適度に永続的にして、ブラウザを閉じても消えないようにする。
　　データは、鯖が作成するセッションIDを入れる。

　　また、DBに画面アクセス日付とセッションIDを登録。

２．次回ログイン時に、このユーザーIDがセッション中かそうでないか？を判断

３．もしも前回ログイン時間の間隔がログイン中と判断されれば、クッキーに
　　以前のセッションIDが格納されているか？をチェックして、もし持っている
　　なら同一ユーザーと判断し、ログインＯＫ
　　もし、データがないなら、違うマシンからのアクセスなので、ログイン失敗

４．前回ログイン時間との間隔が、セッションの範囲を超えているならば、
　　新規セッションとみなして、再度、１の処理を行いログインＯＫ

弱点は、セッションの活性化というか、あらゆる画面のセッションチェックで
DBに書いてあるユーザーログイン時間を更新しなくてはならないこと。

あと、セッションオブジェクトと連動できないため、セッション変数が使うときに
ログイン時に戻してあげる必要があること。セッション変数をシリアライズして、
DBに格納しておく必要ありか？

**nobodyさん** · 02/12/20 01:51

StrutsのフレームワークでActionクラスから別のJSPにForwardする時に、
セッション変数の値を保持することができません。
あるコンテキストAでのセッションIDとForwardしたコンテキストBのセッ
ションIDの値は同じなのですが、セッション変数が無効になります。

他のコンテキストへは、セッション変数は引き継げないものでしょうか？

**nobodyさん** · 02/12/20 01:51

コンテキストAのActionクラス
public class SampleAction extends org.apache.struts.action.Action {

public ActionForward perform(ActionMapping mapping,
ActionForm form,
HttpServletRequest request,
HttpServletResponse response)
throws IOException, ServletException {
ServletContext context = getServlet().getServletContext();
ServletContext forwardContext = context.getContext("/B");

RequestDispatcher dispatcher =
forwardContext.getRequestDispatcher("/WEB-INF/jsp/index.jsp");

//セッションIDの出力　←　ID0000WJ3VLHFLPNH11MSIGWW4Y3A:-1が出力される
System.out.println("AでのセッションID"+request.getRequestedSessionId());

//セッション変数の格納
request.getSession().setAttribute("test","ok");

//セッション変数の取得　←　okが出力される
System.out.println(request.getSession().getAttribute("test"));

dispatcher.forward(request,response);
return null;

}
}

**nobodyさん** · 02/12/20 01:52

コンテキストBのJSPから呼ばれるActionクラス
public class SampleAction extends org.apache.struts.action.Action {

public ActionForward perform(ActionMapping mapping,
ActionForm form,
HttpServletRequest request,
HttpServletResponse response)
throws IOException, ServletException {
ServletContext context = getServlet().getServletContext();

//セッションIDの出力　←　Aと同じID0000WJ3VLHFLPNH11MSIGWW4Y3A:-1が出力
される
System.out.println("BでのセッションID"+request.getRequestedSessionId());

//セッション変数の取得　←　okではなく、nullが出力されてしまう
System.out.println(request.getSession().getAttribute("test"));
}
}

すみません。459～461です。

**nobodyさん** · 02/12/20 13:21

servletのsessionidについて質問ですが、stringのsessionidの場合、最大何桁
(何文字？）まで設定できるのですか？

なんかわけわからい質問かもしれませんが、回答お願いします。
(いきなり先輩に調べろといわれて途方に暮れてます・・・）

**nobodyさん** · 02/12/20 15:02

>>462
自分でsessionid設定するの？

**nobodyさん** · 02/12/20 15:14

唐突なんですが、EclipseとTomcatで開発する時、
最適なデバッグ環境ってどんな設定したらいいんでしょう。

最初自分は適当にサブレ作ってWAR作ってTomcatに放り込んで再起動し、
とりあえず動かしてSystem.outって感じだったのですが、
あまりにウザいので、デプロイは直接Classの保存先を任意webappの
classesに指定し、web.xmlも直で書き換える形にしました。
しかし、デバガとTomcatを連動する方法がわかりません。

やっぱEclipse単体だと、WSADみたいな事はできないのか？

**nobodyさん** · 02/12/20 16:46

>463
設定じゃなくて、取得かな？
なんか、sessionIDを取って、取ったIDをDBにInsertするので、
DBのカラムの桁数の設定の参考にしたいそうです。
(DBはOracle9です。）

/* 今までASPしかやったことない(しかも数ヶ月）私にはJSPは敷居が高いなぁ・・・(涙
（でも次の仕事でつかわないといけないし・・・） */

**nobodyさん** · 02/12/21 20:12

459～461で追加です。

WebSphere AES 4.0で、
あるWebアプリケーションから別のアプリケーションにディスパッチを
行う場合に、セッション情報が失われます。
TomCat4.0.4、3.3系では可能です。

WebSphere AES 4.0でセッション情報を引き継がせる方法はないでしょうか？

**nobodyさん** · 02/12/22 00:13

>>466
管理コンソールかどこかに設定なかったっけ?

**nobodyさん** · 02/12/22 01:59

>>465
とりあえず、 request.getSession().getId().length() を、
どこぞにout。

参考↓
ttp://java.sun.com/j2ee/sdk_1.3/ja/techdocs/api/index.html

**468** · 02/12/22 02:01

あ、ちなみにrequestは、JSPの暗黙インスタンスでもいいし、
Servletの doGet (あるいはdoPost) の引数でも良い。

**nobodyさん** · 02/12/22 14:08

Session管理って、もっとも確実でセキュリティの高い方法は、結局
のところHIDDENフィールドなんですかね？コーディング大変だけど・・・

SessionオブジェクトなんかはCookieを無効にされたら一発でアウトだし、
URL Rewriting はセキュリティ的に問題あるし・・・

**nobodyさん** · 02/12/22 14:10

>>470
Cookie も HIDDEN も URL Rewrite も平文パケットが飛ぶのは同じ
素直に SSL 使いなはれ

**nobodyさん** · 02/12/22 14:19

>>470
てゆーかHiddenって...。ソース見られたら終わりでは..。

**age** · 02/12/22 15:13

Servlet API のクラスの仕様が乗っている J2EE DOC ってのが
あるらしいのですが、見つかりません・・・

どなたか場所をおしえてください・・・

**nobodyさん** · 02/12/22 15:25

http://java.sun.com/j2ee/sdk_1.3/ja/techdocs/api/index.html

**nobodyさん** · 02/12/22 16:28

Servlet Specよめ。
べつのServlet Context(別のWAR）では、Sessionは別になるってことは
Servlet Spec2.2 からの常識だろ。

Sessionを共有したいのなら、ひとつのWARにしろ。

**nobodyさん** · 02/12/22 19:24

>>475

IBMのWAS使ってるのなら、WASv4.0.4からはEARワイド(WAR間)でセッション共有できる
独自拡張機能があるでよ。WASv5なら最初から入ってる。

**nobodyさん** · 02/12/22 23:22

>>474
ありがとう！

**nobodyさん** · 02/12/23 13:04

destroyメソッドを実行させたいのですが、
もっとも簡単なテストの方法は何ですか？

Tomcatを再起動させるしかないのでしょうか？

**nobodyさん** · 02/12/23 13:51

System.gc();
運がよければ実行される。

Tomcatの再起動じゃdestroy()は走らないでしょ

**nobodyさん** · 02/12/24 12:35

>476
WASv4.0.3を使用しています。
WASv4.0.4のEARワイド(WAR間)でセッション共有できる
独自拡張機能の詳しい資料や参考URLとか、ありませんか。

**nobodyさん** · 02/12/24 18:05

>>476
>>480
そんなもの、使うな。
Specじゃないけど、用意されているっていうことは、
そのデメリットを本当に考慮している人だけが後ろめたい気持ちで
コッソリと使うものだ。

素人は、素直にSpecどおりにしておけ。傷が広がらないうちに。

**nobodyさん** · 02/12/24 23:47

>>478

はい。このリリースノートみてみ。

ftp://ftp.software.ibm.com/software/websphere/appserv/support/fixpacks/was40/fixpack4/docs/404rn.html

でも479氏の言うとおりだと思うね。
積極的に使っていい機能ではありえない。
これを前提とするとポータビリティ性は根底から皆無になるよ。
将来的にまたWASがすっぱりこの機能を削るかもしれないことも
考えよう。
おんなじようなものとしては、WASv5でのセッション同期化機能も
そうだろうな。synchronized(session){...}や
synchronized(session.toString().intern()){...}を
しなくてもよくなるというものだろうけど
これも使うときは要注意ではないかな。

**nobodyさん** · 02/12/26 16:04

>>481
WASを V4.0.4にしました。
どうしてもWebApp間でセッション共有を行う為に独自の拡張機能を使用したいのです。

V4.0.4の新機能に、
①｢Enterprise Application内でのWeb Application間のSessionの共有｣
というものがあります。

また、拡張機能として、
②｢Provide session sharing across Web modules in an enterprise application｣
というものがあります。

これは、sessionshare.xml というファイルをWASのproperties配下に配置し、
内容は、セッションを共有したいEnterpriseAppnamesをカンマ区切りで記述する
と、セッションマネージャーがそのファイルを参照し、Enterprise Application内の
複数のWeb modulesでセッションを共有できるようになるそうです。

実際試したのですが、1つのear内に複数のwebAppを作成した場合は、複数のwebApp間
でのセッションの共有はできるようになりました。

しかし、複数のearにまたがるwebAppでは、セッションの共有はできませんでした。

②の拡張機能としては、正しいと思います。
①の新機能は、V4.0.4をインストールした時点で使用できるのか、
それとも何か設定をしないといけないのかが分かりません。
ご存知の方、どうか教えてもらえないでしょうか。

参考URL：http://www-6.ibm.com/jp/domino01/software/websphere.nsf/NewsWeb/92
C9F03BD3ADD24849256C210024EFAB?openDocument&&ViewName=NewsWeb

**nobodyさん** · 02/12/26 23:03

>>481

> しかし、複数のearにまたがるwebAppでは、セッションの共有はできませんでした。

これはできませんよ。設定がどうこうではなく，EAR間の
セッション(HttpSession)共有はありえないのです。
ちょっと考えてみればなぜかはわかると思いますが。

もしそんなことをしたいというのであれば，それはEAR/WARの
パッケージングの粒度を見直すべきです。前提がそもそも
誤っているということですね。そうなるとHttpSessionではなく
アプリ側で独自のセッション引継ぎを実装するしかないでしょう。

**nobodyさん** · 02/12/27 00:46

Tomcatでjspを使ったのWebアプリを動かしてるんですけど、
そのサーバーがファイヤーウォール内にあるので、
逆プロキシで外部からアクセスするようにしました。
しかし、逆プロキシ経由すると、そこで
sessionオブジェクトが消えてしまうみたいなんです。
こういう場合sessionオブジェクトは使えないんでしょうか？

なんとか動くようにしたいんですけど、
なにかいい手はありませんか？

**nobodyさん** · 02/12/27 00:53

http://berry6.hp.infoseek.co.jp/
パートナーのいない人は急げ！
まったり、しっとり過ごしましょ(o^.^o)

**nobodyさん** · 02/12/27 01:08

>>484
｢WASv4.0.4のEARワイド(WAR間)でセッション共有できる
独自拡張機能｣というのは、
｢EAR内での複数のWAR間でセッション共有できる｣
ということなんですね。
EAR間ではセッションは共有できない、またできる
べきものではないのですね。わかりました。
どうもありがとうございました。

**nobodyさん** · 02/12/27 01:35

1回のPOSTでservletが数回実行されてしまうの
ですが対策ありますか？

**nobodyさん** · 02/12/27 05:32

>>488
どういう状況下でそうなったか、まず書け。
「Servletが」とは「同じServlet」なのか「別のServlet」なのか。
「１回のPOST」は本当に１回なのか。

**488** · 02/12/27 12:04

簡単に書いてしまい申し訳ない
「Servletが」とは「同じServlet」のことです。
それが一度に何度も実行されないように下記の
対策2のようなonsubmitをformに施しております
ttp://www.atmarkit.co.jp/fjava/javafaq/servlet/servlet12.html
しかしサーブレット側ではdopostが２－４回程コールされてしまうので
ござる。

**nobodyさん** · 02/12/27 12:06

>>485
同じような問題に遭遇したことがあるが解決法はしらない
誰かおしえてくれー

**nobodyさん** · 02/12/27 12:14

>>490
そのonSubmitに書いたコードが間違っている。

にしてもこのページ良くないなぁ。
なんにも考えない奴がこのページ見たらJavaScript挟むだけでだけで安心しちゃうよ。

クライアントサイドスクリプトなんていくらでも改変・悪用が可能なんだから、
サーバー側での対処は必須。
クライアントJavaScriptはユーザーの利便性向上以上の目的で使ってはいけない。

**nobodyさん** · 02/12/27 12:16

>>485,491
そのプロキシがヘッダ弄ってるんじゃない？

**490** · 02/12/27 12:42

>>492
アドバイスありがとうございます
しかしonSubmitに書いたコードが間違っているとは思えないのです
submitを連打した場合はalertで警告を出し、return false;
していて、動きもそのとおりだから。
この2chでも書き込みすると２回書き込まれちゃうときってありますよね。
それを１００％防ぐのはムリなんですかね？
あとstrutsに関してこんなサイトみつけました。
ttp://www.freeml.com/message/struts-user@freeml.com/0000867
このようなことはJSP&サーブレットでもできるものでござるか？

**nobodyさん** · 02/12/27 13:04

>しかしonSubmitに書いたコードが間違っているとは思えないのです

じゃぁネットワーク監視してPOSTが２回飛んでないことを確認したら？
アクセスログでも良いけど。
そうでなかったら受け取ったServletが自分自身のdoPostを余分に呼んでる。

>このようなことはJSP&サーブレットでもできるものでござるか？

できる。

ていうかサーバーサイドで対処する方法なんていくつもあるんだから、
その中から要求仕様に合ったものを自分で選べばヨシ。

**485** · 02/12/27 17:51

>>493
プロキシがセッションidを削ってました。どうもです。

Apacheのmod_proxyを使ってるんですけど、
削らないように設定する方法はわかりませんか？

あと、セッションidが削られるのを直せないとしたら、
sessionの代用は何をつかうのがいいでしょうか？
Stringを１つ保存するくらいなんですけど、
やっぱりクッキーでしょうか？

**nobodyさん** · 02/12/28 12:10

>>485
sessionidが削られる環境＝cookieも削られる、筈。
ていうか、同一。

**497** · 02/12/28 12:12

あ、>>485 ていうか、>>496 へのレス。

**490** · 02/12/29 12:07

>>497
その場合ユーザー認証はどのようにして
実現します？

_ · 02/12/29 12:12

http://freeweb2.kakiko.com/dengeki/indexe.htm

**nobodyさん** · 02/12/29 12:14

Cookieでなく URL-rewriting にしたら？

**497** · 02/12/29 13:30

>>499

＞その場合ユーザー認証はどのようにして

やっぱりDB使うしかないんじゃないかな。
そういうケースとか、"ロードバランサかましてる"時とか、
Session情報を保持できない時の常套手段。

**nobodyさん** · 02/12/29 13:52

どうしてSessionそのものとSessionを維持する手段を分けて考えられないのかね。
ここの連中はアホばっかり？

Cookie使えないならURLリライティング使えばいいだろ
DB云々なんてのは全然関係ない、レイヤの違う話。

**nobodyさん** · 02/12/29 15:16

>>503
>>501で既出な話をそこまで偉そうに言えるお前がすごい。

**497** · 02/12/29 15:20

>>503
あのね、漏れは、>>499 の

＞その場合ユーザー認証はどのようにして実現します？

の、問いに対して「自分だったらこういうアプローチを取る」と、
答えただけなんだけど。...ていうか仕事で実際そうしてるし。

501=503 ?? 自分の意見が無視されたのが、そんなにくやしいのかね。
ていうか、「ユーザ認証の処理」に対して「URLリライティング」を適用するっていうのを、
>>499に具体的に提示してやれよ。それこそ、「レイヤが違うん」じゃないの？

話聞けよ。アホ。

**nobodyさん** · 02/12/29 15:54

ユーザー認証とSessionをごっちゃにしてる>>497の勘違いを指摘せずに
「DB使うしかない」なんて更に見当違いの話持ち出したってそれこそ泥沼だな・・・

Sessionさえ維持できれば497が既に知ってるであろうユーザー認証の手段が使える。

>の、問いに対して「自分だったらこういうアプローチを取る」と、
>答えただけなんだけど。...ていうか仕事で実際そうしてるし。

DBを使うことと認証がどうしてリンクするの？
きちんと理解できてないのならもう少しよく勉強した方がいいよ。
DB？コンテナが用意してくれているセッション管理の機構を自分で再実装してるのかね（笑
それともユーザー名とパスワードをリクエスト毎に持ちまわってるのかね（笑

**497** · 02/12/29 20:30

>>506
＞DBを使うことと認証がどうしてリンクするの？

確かに話飛び過ぎたかもしれんが、漏れがやった具体的な方法というのは
（>>506がシステム屋なら知ってると思うが）一般的に「そのWebシステムを使用するユーザ（例えばその会社の社員）」についての
情報ってのは、普通ソレ専用のDBに溜めてある。
で、単純にAPサーバにあるWebシステムに「ログオン」する時に、そこに保存してあるIDやパスとの比較を
行い、以降の処理を行う。

...っていうか普通のSEだったら、こんなの「何あたりまえの事言ってんの？」って感じだと
思うんだが...。
で、この後、

＞Sessionさえ維持できれば497が既に知ってるであろうユーザー認証の手段が使える

これって、要するに「ログオン状態(State)の変遷の保持」の事言いたいんだよな。
で、ここでポイントになるのが漏れが>>502で言った、
「ロードバランサとかかましている時」＝「Session状態をC/Sで一致させる為の手段が無い時」
に、どうするのか、って事。

いくらURLRewrite使ってもさ、もしロードバランサとかでAPサーバ振り分けられちゃったら、
「そのSessionIDに一致するインスタンスがサーバにない」って事になるよな。
（つーかクラスタ組めばいい感じになるAPサーバも世の中にはあるが）

要するにだ。もう一度>>502の漏れの書き込みを読んでみろよ。漏れの経験上の一意見として、

＞そういうケースとか、"ロードバランサかましてる"時とか、Session情報を保持できない時の常套手段。

として、DBを使うって、言った、んだよ。
お前、実務経験無いだろ。学生か？

**497** · 02/12/29 20:41

>>507
自己レス。すまん。つーか「状態変遷の保持」。つまり、>>506が>>503で言った

＞どうしてSessionそのものとSessionを維持する手段を分けて考えられないのかね。

漏れは「Sessionが維持できない」ケースとして、例を出したんだよ。「こんな事あったな」って。
でその時はログオン後、仕方が無いので、要所要所でDBから読んで処理した。
（全部のWebページ毎、では無いが）
特に、インターネットに接続された外部のユーザがアクセスしてくる
システム（ただしそれほどクリティカルでない）で、かつそれぞれクラ環境がバラバラで、
Cookie使用禁止な所もあれば、プロキシの設定がアレな所もある。

最初は普通にSessionで管理していたんだが、客側の都合で「このままで動くようにしてくれ」
言われてしまった。で、こんな処理を書いた訳だ。

実際Sessionで管理できれば楽なんだけどな。ま、こんなケースもあると。

**nobodyさん** · 02/12/29 22:40

おちけつ

**nobodyさん** · 02/12/30 01:22

どうも自分の間違いを素直に認められない方のようで（笑

>>502
>＞その場合ユーザー認証はどのようにして
>やっぱりDB使うしかないんじゃないかな。

「その場合」で無い場合（＝Cookieが使用できる場合）のユーザー認証に
DBは必須ではないような書き方ですね。

>情報ってのは、普通ソレ専用のDBに溜めてある。

へー「DB」っていうのはそう言う意味で使ってたの。502と矛盾してますよ。
しかしずいぶん程度の低い話になったね。

>で、ここでポイントになるのが漏れが>>502で言った、
>「ロードバランサとかかましている時」＝「Session状態をC/Sで一致させる為の手段が無い時」
>に、どうするのか、って事。

話がすり替わってるよ。
いつの間にこんな特殊な(※)環境の話になったのかね。
409の環境に関する情報は「Cookieが使えない」ぐらいしか出てないようだけど（笑
※素朴なServletコンテナの実装からすると特殊な、という意味ね。念のため

>お前、実務経験無いだろ。学生か？

実務経験あってもわかってなきゃ意味ね－な。理解してる学生バイトの方が数倍使えるよ（笑

**497** · 02/12/30 03:37

>>510
今このスレ遡って読み返してみた。正直な話、いつの間にか話飛んでたよ。
間違いがあったのは認める。...ムカつくけどな、お前。
ガキの噛み付き方丸出しだし。
（って、それに煽られて興奮気味になんだかわからない事書き込みしてる漏れも相当ガキ丸出しだが....）

つーか元の話ってのは、「Sessionが削られている」から始まって「ユーザ認証ってどうしてます？」
って話だろ？
それで、漏れは>>508に書いたような事が勝手に頭によぎってそう書いたんだよ。
つーか「理解してる学生バイト」（ちなみにシステム屋で学生バイトなんているのか？）
ならわかると思うが、

＞話がすり替わってるよ。いつの間にこんな特殊な(※)環境の話になったのかね。

と思うなら、

＞へー「DB」っていうのはそう言う意味で使ってたの。502と矛盾してますよ。

矛盾なんて無ェだろ。

つーか、もう、なんか元の話と関係無くなってるので、この辺で。
他の方々、アホさらしてすんません。

**初心者** · 02/12/30 07:07

これからＪＳＰを始めようとしているんですが、誰か、
>>34や>>55で紹介されてる、

Apache_1.3.22-Mod_SSL_2.8.5-OpenSSL_0.9.6b-WIN32.zip
OpenSSL-0.9.6c-Windows.zip
jakarta-tomcat-4.0.3.zip
の３点をうぷして頂けないでしょうか？

後、>>55さんのページに書かれてた　LawWebOffice モジュール　とは何ですか？
これも必要なんでしょうか？

よろしくお願いします。

**nobodyさん** · 02/12/30 12:50

>>512
場を和ませようとしたのか？
まずぐぐれ

**nobodyさん** · 02/12/30 17:21

なんか荒れてるねー。つーか荒れてる訳では無いのか。
不毛な争いはちょっと置いといて...。

>>512
とりあえず
Apache関係の日本の総本山 → http://www.apache.jp/
JAKARTAプロジェクト関係の日本の総本山 → http://www.ingrid.org/jajakarta/
行ってみれ。

**まーまー** · 02/12/30 17:36

>>511 (497？)
オレもSEのはしくれなので言いたい事はわかるんだけど、
相手の環境考えなきゃ。それこそその筋の人間なら、頭の中で話つながるんだけど、
自宅でサーバ立てようって向きには、「何言ってんの？」って思われても仕方が無いと思う。

>>510
Sessionと、Session維持を分けて考えろとか、良いとこ突っ込んでんだけどねー。
君、口悪すぎ（笑）

肩持つ訳じゃないけど、511は本人も言ってる通り、「そういう例」を
ただ何の気無しに言ったんだと思うよ。経験した話として。
たぶん、これってただそれだけの話。

**初心者** · 02/12/30 17:42

いや、マジなんすけど。
直でぐぐってもヒットしないし、>>514さんの辺りを見ても中々見つかりません。

**nobodyさん** · 02/12/30 20:34

>>516
ttp://www.apache.org/
ttp://jakarta.apache.org

このくらい、押さえとけ。

**初心者** · 02/12/30 22:14

>>517
バージョンの違う奴なら落として>>56のページを真似してみたんですけど、
どうしても上手く起動しません。
Apacheのhttpd.confの継ぎ足した所のSSLについての部分でエラーが起きている
みたいなんですが、ページに書いてあるのと同じバージョンなら上手くいくので
はないかと思いまして。

**nobodyさん** · 02/12/30 22:28

２ちゃのServlet関係スレってレベル低いね～
質問者は仕方ないとして、答えてる奴の８割くらいは、ただの素人だな…

たまにマトモな奴もいるようだけど…

**nobodyさん** · 02/12/30 22:32

>>518
Apache2.0系とApache1.3系はモジュールの実装の仕方が違うぞ！
ついでに、Tomcat3.X系と4.X系も違う！

古いバージョンが欲しいのなら、>>517　のサイトをくまなく探せ！
必ずあるから！

**初心者** · 02/12/30 22:48

>>520
ありがとうございます。
Apacheは、Apache_1.3.27-Mod_SSL_2.8.12-OpenSSL_0.9.6h-Win32.zip
SSLは、OpenSSL-0.9.6h-Win32.zip
Tomcatは、jakarta-tomcat-4.0.6.zip
を解凍して使用しました。

http://members.tripod.co.jp/emasuken/open/apache_mod_ssl_tomcat.txt
の通りにしようとしたら、出来ない所がいくつかありまして。
たとえば、c:\app\opensslの下にbinディレクトリは存在しませんでした。

>>517のサイトも、もう一度まわってみます。