Es correcto lo que dices hacerca del parametro false, sin embargo veo que estas trabajando con una JSP y no con un Servlets, debes saber que en las paginas JSP la creacion de una session es automatica, siempre tendra un indetificador de session por defecto, a menos que en la cabecera de la pagina le indiques lo contrario de esta forma

<%@page session="false"%>

Si no tienes esa linea en la cabecera de tu JSP, la session ya se creo, y al mokento de decirle getSession(false) recoge el identificador de session ya creado.

Con respecto a lo del Bean, eso veras tu como lo manejes, pero siempre es una buena practica teenr todos los datos del usuario a la mano, pues no sabes cuando los querras ocupar en la pagina y si ya havias extraido los datos de la base de datos, para que hacerlo denuevo? pero como dije, eso es a gusto del programador.

Saludos