□考慮すべき点
・セキュアモードCookieの利用
weblogic.xml デプロイメント記述子の、cookie-secureをtrueに設定する。
クッキーを HTTPS 接続でのみ返信するようブラウザに指示する。これにより、クッキー ID が保護され、HTTPS を使用する Web サイトでのみ使用されるようになる。この機能を有効にすると、HTTP でのセッション クッキーは機能しなくなる。

・セッションIDをGETメソッドで送らない
セッションIDをGETで送信するとURLの一部にセッションIDが埋め込まれる為セッションIDが漏洩する危険性がある。
Weblogicではデフォルトではクッキー無効ブラウザでは自動的にセッションIDがURLにエンコードされる。weblogic.xmlデプロイメント記述子のurl-rewriting-enabledをfalseにすることで、クッキーが無効なブラウザで、セッション ID が URL にエンコーディングされる動作をOffにする。

・セッションに格納するオブジェクト
セッションには最低限の情報を保持する。また保持した情報の鮮度にも気をつける。
セッションに保持する情報は必ず必要最低限にとどめる事。セッション内で非常にサイズの大きいオブジェクトを作成するような設計は出来るだけしない。
今後の拡張を考慮し、念のためセッションデータはシリアライズ可能にしておく。
セッション オブジェクトの属性を変更するには非推奨となった putValue に代わって HttpSession.setAttribute を使用する。
同様に、セッション オブジェクトから属性を削除するには、非推奨となった removeValue に代わって removeAttribute を使用する。