Cr2ed

А почему к примеру не сделать наследников типа

@Repository
public class UserStorage extends Storage<User> {
    ...
}

и работать уже непосредственно с ними?

А с клиента слать сообщение о том что я(пользователь) зашел и я еще активен не вариант?
Если забыл выйти, то такое сообщение не прилетит.

Я вижу 2 способа:
1. Подключите form validating
2. У вас скорее всего есть класс для описания реквеста. добавте там метод validate и вызовите его в начале контроллера

public class AuthenticateRequestBody {

    private String username;

    private String password;

    public String getUsername() {
        return username;
    }

    public void setUsername(final String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(final String password) {
        this.password = password;
    }

    public void validate() {
        if (StringUtils.isBlank(username)) {
            throw new ValidationException("Username is absent!");
        } else if (StringUtils.isBlank(password)) {
            throw new ValidationException("Password is absent!");
        }
    }
}

@PostMapping("/authenticate")
    @ResponseStatus(HttpStatus.NO_CONTENT)
    void authenticate(@RequestBody final AuthenticateRequestBody request) {
        request.validate();

        authenticationService.authenticate(request.getUsername(), request.getPassword());
    }