ＣＧＩの単独実行を実現するセッション管理

理論

1. 実行したいＣＧＩにアクセスしたら、セッションチェックを行います。 セッションチェックは、セッションを識別するＩＤが、サーバ上（ファイル）とブラウザ上（クッキー）で一致するかを確認します。
2. チェックがNoだったらセッション管理用のＣＧＩに制御を移します（もちろん実行ＣＧＩ内に組み込んでもＯＫです）。 （当然最初は認証されていませんので）パスワードにより認証を行います。
3. 認証されたらセッションを識別するＩＤをサーバ上（ファイル）とブラウザ上（クッキー）に記録し、実行ＣＧＩに再アクセスさせます。
4. セッションチェックがYesの場合はメインプログラムを実行します。
5. ログアウトの際には、サーバ上（ファイル）とブラウザ上（クッキー）のセッションＩＤを消去します。
6. ＣＧＩはそもそもバッヂ処理（１回１回処理が完了するもの）ですので、ログアウトせずに、または実行間隔が一定時間を経過した場合には、 自動的にログアウト処理を行います。
7. セッション中（サーバ上にセッションファイルが存在）にセッション開始（認証）をしようとするアクセスがあれば、認証を拒否します。

　　 アクセス 
　　　　：
　┌──┴───┐
　│セッションID│No
　│ 　照合(*)  ├→─┐ (*) ファイル＝クッキーかどうか？
　└──┬──┬┘　　│
　　 Yes：　  ↑　　  ↓
　　　　：　　│No┌─┴─┐
　　　　↓　　└─┤ 認証 │
　　　　：　　　　└─┬─┘
　┌──┴──┐　　　↓Yes → ファイルとクッキーに...セッションID記録
　│ 　実行　 ├─←─┘
　└─────┘

※クッキーについて

クッキーは、ブラウザを特定する目的でセキュリティ上とても重要な役割をします。 ここで記録されるクッキーには、意味を持つ情報は含まれません。 クッキーを遮断しているブラウザでは安全が保てない（このセッション管理の前提が崩れてしまう）ので、 アクセスは拒絶されます。

注意事項

サンプルとダウンロード

- サンプル（ パスワード：123456 ）

- ダウンロード (session1.00.zip) 解凍の仕方

- このシステムはフリーソフトですが、利用規定に従ってご利用ください。

- サブルーチン類としてご活用ください。当方ではここに書いてある以外の情報提供は行いません。（バグ報告を除く）

- 困ったらサポート掲示板 （掲示板利用上の注意）

技術メモ（上級者向け）

• もっと安全に…１

  サーバ上に記録されるセッションＩＤを保存するファイルは、当然ながら不正アクセスで読み出されないことを前提にしています。 特に共用サーバで他人のディレクトリに簡単にアクセスできてしまうような管理をしているサーバだったら要注意です。 万が一セッションＩＤが知られてしまった場合、それをブラウザのクッキーに記録できればアクセスできてしまうことになります。 クッキーの記録にはその実行範囲を制限するpathが設定できます。このスクリプトではデフォルト（ルート）になっていますが、 より狭い範囲を指定することで、特に共用サーバ等ではそれを防止することが出来ます。（もちろん、ブラウザに直接書き込んでしまえばどうしようもありませんが…）

• もっと安全に…２

  ファイルとクッキーに記録されるＩＤは同一のもので、"一致"するかどうかで照合しています。 認証時に発行されるＩＤを暗号化してファイルに記録し、暗号元となったＩＤはそのままクッキー（またはフォームで常時渡すようにする）に記録し、 アクセス時に読み出されたクッキー（またはフォームで送られたＩＤ）をその都度、ファイルに記録されたものと認証（暗号認証）するようにすれば、 もしファイル記録のデータが読み出されても、"一致"では照合されないので、より安全になると思います。