Estou trabalhando em um webapp Java tentando combinar as seguintes tecnologias:

Java EE 6CDIJSF 2EJB 3.1Spring Security

Eu forneço beans de apoio baseados em CDI (@ViewScoped, @Named) para minhas páginas JSF.

Eu uso beans EJB @Stateless para o trabalho real a ser feito.

Eu só preciso de algumas informações de sessão como jSessionCookie (gerenciado pelo contêiner), nome de usuário interno e alguns outros IDs internos. Agora, pergunto-me onde colocar essa informação de sessão para que eu possa acessá-la nos beans de apoio do JSF, mas também fornecê-la aos EJBs sem estado? Devo usar um bean de sessão EJB @Stateful ou devo criar um POJO com base em CDI com @SessionScoped e @Named?

Existem melhores práticas?