Ono zalezi jak si to naprogramujes. JAAS je kopa interfacu. Muzes uzivatele prihlasit dokonce i bez zeptani se na jeho login a security context se ti samozrejme bude propagovat v ramci cele aplikace.

Doporucuji si o tom neco precist a pak se rozhodnout jestli to neni kanon na vrabce.

Jinak obecne bych do session ukladal co nejmene informaci, nejlepe pouze ID uzivatele. Vse ostatni se da obvykle dotahnout. Tzn. navrhovat aplikaci maximalne bezstavove. S pameti si muzes dovolit plytvat pouze u malych aplikaci.