Estoy trabajando en una aplicación web Java tratando de combinar las siguientes tecnologías:

Java EE 6CDIJSF 2EJB 3.1Seguridad de primavera

Proporciono beans de respaldo basados ​​en CDI (@ViewScoped, @Named) para mis páginas JSF.

Utilizo los beans EJB sin estado para realizar el trabajo real.

Solo necesito poca información de sesión como jSessionCookie (administrado por contenedor), nombre de usuario interno y algunos otros ID internos. Ahora, me pregunto dónde colocar la información de esta sesión para poder acceder a ella en los beans de respaldo para JSF, pero también proporcionarla a los EJB sin estado. ¿Debo usar un bean de sesión EJStfulful EJB o debo crear un POJO basado en CDI con @SessionScoped y @Named?

¿Existen buenas prácticas?