cypher256's blog

Pleiades とか作った

セッション管理

上でも書いてますが、フォームは InstanceType.SESSION 固定です。画面入出力情報だけでなくセッションに持ちたい情報はすべてフォームに持ち、ユーザに関する情報はすべて User オブジェクトにもち、アクションやロジックにインジェクションされます。HttpSession は一切使用しません。session.removeAttribute とかしたくないですからね。

つまり、ルール的にはフォームは全部セッションにあるから、いつでも使えるよ、でも設計時も実装時もでかいプロパティはちゃんと null にするか、1 画面だけで使うなら transient にすることを意識してね。のような感じです。
追記:transient はだめでした。コメント参照。