シリアル化できないオブジェクトをHttpSession属性として保存するのは良いですか？

Question

私はfortify Webアプリケーションを使用していますが、addToSession()メソッドには、HttpSession属性として直列化不可能なオブジェクトが格納されているため、アプリケーションの信頼性が損なわれる可能性があります。

public class DataGlob { 
    String globName; 
    String globValue; 

    public void addToSession(HttpSession session) { 
    session.setAttribute("glob", this); 
    } 
} 

です。以下のことをお勧めします。

public class DataGlob implements java.io.Serializable { 
    String globName; 
    String globValue; 

    public void addToSession(HttpSession session) { 
    session.setAttribute("glob", this); 
    } 
} 

私には推奨されているコード変更が必要ですか、それとも変更なしで有効ですか？

Answer 1

セッションに格納するすべての属性は直列化可能であることが推奨されます。必須ではありませんが、将来的には有用かもしれません。

フェイルオーバをサポートするために、アプリケーションサーバはセッションデータをディスクに保存したり、ネットワークを介して転送して、クラスタ内の別のノードがセッションのサービスを継続できるようにします。これをサポートするには、セッションに格納されているすべてのデータをシリアライズ可能にする必要があります。

Answer 2

HttpSessionコンテンツをシリアル化して、セッションをディスクに保存したり、セッションをクラスタ内の別のノードに転送したりできるようにする必要があります。
したがって、シリアライズの後の問題を避けるために、クラスをシリアライズ可能にする方が良いです。