Здравствуйте, ligett, Вы писали:

L>Сейчас HttpSession вообще никак не используется. Аутентификация и авторизация сделаны через Spring Security.
Откуда уверенность что Spring Security в сессии ничего не хранит? Просто вычитайте все атрибуты сессии после обработки запроса и посмотрите что там.

L>К сессии ничего не прикрепляется, SessionAware акшоны не используются. Всё хранится в базе, ну и идентификаторы объектов в формах на клиенте, конечно.
Ну, если так. То хорошо. Можно тогда максимально всё из сессии вынести в формы.

L>Кеш тоже пока никакой не использовали, вместо этого просто взяли по-быстрее железо.
А говорите достигли предела вертикального масштабирования. Кеш может увеличить производительность просто на порядок.