Прежде всего, вы говорите, что лица без гражданства менее безопасны? У вас есть какая-то конкретная причина, почему вы считаете, что это так?
Идея модели без сохранения состояния заключается в том, что вы не сохраняете данные в сеансе без необходимости на стороне сервера, что приводит к необходимости продолжения сеанса чата на этом же сервере в течение всего сеанса.
Если вы хотите имитировать сеанс J2EE, вы можете просто использовать session.id и сохранить все состояния в базе данных, а также удалить в конце сеанса.
Сам файл cookie сеанса подписан, поэтому он не может быть подделан, поэтому не нужно беспокоиться о том, что кто-то может взломать идентификатор сеанса, но если вас это особенно беспокоит, вы можете просто сохранить свой собственный идентификатор в файле cookie сеанса, и зашифруйте его с помощью служебного класса Crypto, который использует секретный ключ приложения для шифрования / дешифрования данных.
Безгражданство - это просто изменение мышления, и, пока вы не храните данные без необходимости в сеансе (что, вероятно, является тем местом, откуда вы пришли), вам не о чем беспокоиться.