セッションIDの理解

Application Expressエンジンは、ページ・リクエストごとにユーザーのアイデンティティ（または匿名性）を証明し、データベースからセッション・ステートをフェッチするためにセッションIDを確立します。セッションIDが最もわかりやすく表示されている場所は、ページ・リクエストのURLです。URLの第3パラメータとしてセッションIDが表示されます。次に例を示します。

http://apex.somewhere.com/pls/apex/f?p=4350:1:220883407765693447

この例では、セッションIDは220883407765693447です。

他にわかりやすく表示されている場所は、ページのHTML POSTデータです。また間接的にはセッションCookieのコンテンツです。このCookieは、認証時にApplication Expressエンジンによって送信され、アプリケーション（またはブラウザ）セッションの存続中、維持されます。

Oracle Application Expressは、認証プロセス中に新しいセッションIDを割り当て、認証されたユーザーのアイデンティティをセッションIDとともに記録し、続けて各ページ・リクエストのURLまたはPOSTデータをセッションのCookieおよびデータベースのセッション・レコードと照合して確認します。この確認によって、柔軟性とセキュリティが向上します。

セッションIDがセッション・ステート用のキーであるのに対し、セッションのCookie（使用される場合）およびセッション・レコードは、セッションIDとユーザーの認証ステータスの整合性を保証します。