http://weblogs.java.net/blog/gmurray71/archive/2005/05/storing_secure.html
http://www.theserverside.com/news/thread.tss?thread_id=33991
クライアント側でステート管理をおこなうために、シリアライズしたオブジェクトをBASE63エンコードして、hiddenに埋め込むJSPタグライブラリを使うというアイデア。基本的には、ステートをそのままhiddenに埋め込む方法のバリエーションに過ぎない。この方法独自の利点は、アプリケーション開発が楽になること。欠点は、シリアライズ、デシリアライズによるCPUリソースの消費、処理時間の増加、データサイズの増大による転送量の増加、Javaクラスのバージョニングによるデシリアライズエラーの可能性くらいか。

TSSのスレッドの中で面白そうなのは、application stateとview stateを区別すべきという話、シリアライズしたオブジェクトをクッキーに格納する方法(http://www.javaworld.com/javaworld/jw-01-2001/jw-0126-servlets-p3.html)。