Ответ 1
Сессионный beans (с использованием scope="session") - самый чистый подход. Это устраняет необходимость взаимодействия с сеансом самостоятельно.
Если вы хотите авторизовать bean с сеансом связи с контроллером, вам нужно либо сделать сам сеанс управления сеансом, либо использовать прокси-сервер с прокси-сервером, чтобы подключить его к контроллеру singleton, поскольку описанный здесь. Любой подход действителен.