Solucionado
Gostaria de saber se é uma boa prática colocar entidades JPA diretamente nos xhtmls. E também se em produção se usa algum tipo de solução tipo spring session para se ter replicação de sessão entre as instâncias no load balancer e não ter que fazer stick session.
Oi Felipe, tudo bem ?
Cara a maioria dos sistemas que já utilizei sempre colocavam as entidades na tela, claro isso pode gerar uma serie de ataques, um bem conhecido por exemplo é o Mass Assignment, para solucionar, você pode criar um dto, que vai representar os dados exatos da sua tela e ele é responsável em fazer a conversão para você.
Ok. Mas e com relação a segunda pergunta, que diz respeito ao controle de sessão em Prod? Como vocês fazem?
Olá Felipe tudo bem?
Como o Matheus já respondeu a primeira parte da dúvida, vou focar na segunda parte.
Os servidores de aplicação vem com mecanismos de cluster e cache distribuído.
E é no o cache distribuído que você armazena a sessão, assim todos os applications servers podem ler a sessão do cache distribuído.
E pelo fato do cache ser distribuído ao escrever algo nele ele se encarrega de replicar o dado para todas as instancias.
Espero ter ajudado.
[]s