実のところ、ウェブサービスのセッションつーものがどうやって実現されているのかをあまり理解してなかった。 特にRuby on Railsではセッションの内容自体をサーバのDBじゃなくてクッキーに保存するということらしいが、その場合のセキュリティ的なこともあまり自信がなかった。 のでちょっと調べてみた。 先にまとめ Railsではセッションの内容がクッキーでやりとりされる(デフォルトの場合) Rails6 ではクッキーが暗号化されているので、クライアント側で改ざんはできない クッキーには httpOnly が指定されているので、サーバに送られるだけでJavaScriptから読み出されることはない Railsでのセッションの使用方法例えばユーザにログインさせる場合に、なんらかの認証をした後にコントローラでセッションにユーザIDをセット: class SessionsController < Ap