太大的道理不是很了解，一些小的注意事项倒有留一手：比如说cookie串要加密，并设置为isHttpOnly,只要控制不了你的cookie串,攻击第一步就通过不了。
如setCookie(Const.Co.USER, openId, Const.COOKIE_TIME, true);防止cookie非法修改。

更高深的东西，你只等波总给你回答了哦。

@lyh061619 非常感谢

@yinhongakg 对了，如果你想用中间件的话，这里有：http://www.oschina.net/news/69360/kisso-3-5，这个中间件，也有集成例子，即拿即用。