Liferay DXPはセッション識別子を検証しますか？

ポータルのセッション・コンフィギュレーションに関しては https://github.com/liferay/liferay-portal/blob/master/portal-impl/src/system.properties#L567-L576と https://github.com/liferay/liferay-portal/blob/master/portal-impl/src/portal.properties#L2957-L3232セクションがあり、セッション処理の動作に影響を与えることができます。

とはいえ、セッションの検証/妥当性確認は、常に基礎となるフレームワーク、つまり、それぞれのJava APIを実装するサーブレットコンテナ(SC)/アプリケーションサーバー(AS)(例えばTomcat)によって行われます。 そのため、ポータルは必要なパラメーターだけを渡す。

セッションはSC/ASによって作成され管理されるが、ポータルはそこにいくつかの追加データを置く。 たとえば、ユーザーの認証に成功した場合などである。 ポータルはある時点でセッションの無効化をトリガーしますが、同時に適切なサーブレットAPIメソッドを呼び出します。

ウェブアプリケーションとしてのポータルがリクエストに応答している間、パラメータ、属性、クッキーによってセッションの状態を変更することがありますが、サーブレットAPIを通して常にそれを行っています。