"Ezek szerint nem ismered a JEE clusteres működését."
Hogyne ismerném. Pont ezért mondom, hogy ez így anti-pattern. A session replikáció ehhez ugyanis kevés.
"Ha invalidálsz egy session-t, akkor az automatikusan minden node-on invalidálódik."
Hogyne. Csak épp a hivatkozott Spring Security egyrészt rendszeridegen komponens JavaEE környezetben, másrészt a másik node másik session-t fog ismerni ugyanahhoz a felhasználóhoz.
"Amikor bejelentkezik a user, akkor megnézed az aktuális session-ök között, hogy van-e élő bejelentkezése másik gépről."
Azonos gépről nem lehet? Hol tárolod a felhasználók session-user összerendelését?