Hey Danke für die Antwort.

Die Speicherung der Session-Objekte übernimmt ja wohl der Servlet-Container o.ä. Wieso schreibst Du dann noch irgend welche Session-Information in die Datenbank? Das einzige, was Du damit zumachen scheinst, ist, diese wieder zu löschen. Was ist denn, wenn die Session verfällt und automatisch gelöscht wird. Wird dann Deine Session-Id in der Datenbank auch wieder gelöscht?

oh, ich merke gerade dass die Seicherung der Session-ID in die DB nutzlos ist.

Wenn ich eigene Daten von dem User-Objekt brauche, packe ich das beim Login gleich in das Objekt und mache später, falls man mehr braucht (Hobbies, Vorlieben, Emailadresse...) eine zusätzliche Select-Abfrage.
Hibernate kann so etwas automatisch. Ich bin nicht ganz sicher, ob atomare Eigenschaften eines Objektes auch erst bei bedarf nachgeladen werden können, aber es dürfte auch nicht entscheidend sein, ob ein paar solcher Eigenschaften mehr geladen werden. Weitere Objekte für Verweise auf andere Tabellen können aber auf jeden Fall erst bei Bedarf erzeugt werden.

Das nachladen, bzw. neu selektieren von zusätzlichen Details zum Benutzer wollte ich mir ersparen, damit ich weniger Anfragen zur DB stelle. Dafür hätte ich dann, wenn ich beim ersten Selektieren viel hole und nen dicken Objekt habe und den von Seite zu Seite herumschleife.

Was ich zwecks Sicherheit nachfragen wollte. Ich habe gehört, dass man von Session auch die darin gespeicherten Objekte auslesen könnte, falls dies von einem anderen ergattert ist. Geht das problemlos? Dann müsste ich auch aufpassen, was ich alles da herunue. Wollte nämlich evtl. die DB-Verbindung evtl. in die Session speichern, wenn ein User eine Seite aufruft.
Sobald ich dann ein Select bräuchte, müsste ich das Objekt nur von der Session holen und mit einer statischen Methode die Daten von der DB holen.

Doch nicht so gut der Gedanke dann.

Grüße