Evgeny Novoselov

1. Адреса должны быть относительными всегда
2. Место хранения следует задавать переменной

SERVER_ADDRESS = 'localhost'
меняешь на
SERVER_ADDRESS = '127.0.0.1'

объяснять нужно? и вооьбще - какую проблему решаем-то?

JSP полезно изучить как часть стандарта JEE, а Thymeleaf как наиболее современный и гибкий из java-шаблонизаторов.

Ищите сборку MSDN. Автор Microsoft.
Наименьшее число багов хотя и встречаются

Затупил, убрал валидацию в сигнатуре метода контроллера, и через временного пользователя поменял нужные мне поля:

public String saveUser(@ModelAttribute("currentUser") User user,Model model, Principal principal) {
		User tempUser = (User) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
		tempUser.setEmail(user.getEmail());
		tempUser.setUsername(user.getUsername());
                userService.save(tempUser);

Там используются HttpOnly cookie. То есть сами cookie есть, но в браузере не видны, также к ним нельзя получить доступ из клиентского кода.
В запросе /check можно увидеть, что в response headers они устанавливаются.

Set-Cookie: tph_uuid=<token>; expires=Wed, 08 Feb 2023 05:42:55 GMT; path=/; secure; HttpOnly

Как тогда Паша понимает, что я - это я?

Устанавливает тебе печеньки, потом читает их.

Проблема заключается в том, что ни в локальном хранилище, ни в сессиях, ни в куках нет вообще никаких данных.

Не совсем верно. Во вкладке "Приложение" их нет, а вот во вкладке "Сеть" по клике на запрос - есть.
Эти печеньки можно установить в другой профиль/браузер с помощью любого расширения для работы с cookies. Возьмем к примеру расширение Cookie Editor и создадим новую печеньку со следующими параметрами:
И вуаля, у нас в другом браузере появится кнопочка "Edit'.

Для разработки используйте cross-origin.
В прод. среде у вас будет какой-то http сервер (nginx, например), который все эти вопросы решит

Делайте по инструкции и все получится:
https://symfony.com/doc/current/security.html

Когда ты разрабатываешь какое то приложение, не важно на сколько сложное, ты же не пишешь его с нуля и до конца полностью (точнее такое бывает но редко, для не сильно больших задач и у этого метода есть недостатки - больше подвержен ошибкам), наоборот, код идеологически разбивается на части или этапы разработки, каждый из которых пишется по очереди, до принципиальной возможности запуска, часто кстати в уже написанные части подставляются заглушки (и/или подсовывается база данных в определенном состоянии) и добавляются отладочные сообщения, чтобы приложение запустилось в нужном состоянии чтобы в принципе была возможность протестировать только что написанную часть.

Под протестировать я подразумеваю любой способ проверить, что получится, как программа отреагирует (например что напишет в логах), и сравнить это с ожидаемым поведением.

Что значит ожидаемое поведение? когда ты делишь задачу на подзадачи, у тебя появляются промежуточные данные и состояния, ну как в анекдоте про чайник и программиста, чтобы заварить чай нужно:
* налить воду в чайник
* поставить на базу/печку и включить
* дождаться готовности/выключить
* налить чай
на каждом этапе нужно проверять состояние, например первый пункт - есть ли вода в чайнике, горячая ли она или холодная, полный ли чайник, есть ли у тебя чайник в руках, и т.п.

Тесты создают на основе данных, являющихся нормальными, ненормальными и граничными для тех алгоритмов, что используются в коде. К примеру нет нужды проверять температуру воды в чайнике отдельно на фиксированные значения 10, 20, 30,.. градусов, если в алгоритме заложены естественные их границы - холодная и горячая, вот вокруг этих констант и приходится гулять.

Вот именно эти проверки и есть тесты, которые необходимо автоматизировать.

Степень полноты тестирования вопрос философский, в конечном счете тесты нужны не только для автоматического тестирования и составления отчетности на изменения кода, но и собственно для разработки, разрабатывая тесты ты делаешь код полнее и точнее (например проверяя температуру воды на первом шаге ты добавишь в код условие - если вода горячая, то пропустить ее нагрев), почитай про test-driven development, TDD

p.s. а еще тесты - это способ исследовать неизвестную библиотеку, дело в том что open source реалии таковы, что документации нет от слова совсем, в лучшем случае перед тобой список методов с типами аргументов и пара примеров, все остальное нужно догадываться по логике наименований, здравому смыслу и ковырянии в исходниках. Тесты тут могут быть исключительно как способ изучения этой библиотеки, но не обязательно такие тесты реализовывать в коде, это все же процесс в ручную происходит, но все же, создавать тесты на ответы от чужой библиотеки полезно для длительной поддержки проекта для того, чтобы у тебя были алерты на необычное поведение ее после обновления)

создание правильных и полных тестов очень сильно повышают стоимость разработки и поддержки проекта, причем чуть ли не на порядок, но дает некоторую защиту от смерти проекта в будущем из-за накапливающихся ошибок, о которых ничего не ясно без тестов.

и еще, создать тесты с нуля на готовый проект почти невозможно.

Но потом, когда я загружу проект на сервер, то там же другая файловая система, другие директории и т.д. - как с этим быть?

Ну во-первых, как отметил коллега Dmitry Roo нужно использовать относительные пути.
Во-вторых, у вас должны быть несколько файлов конфигурации (с разными профилями). Например, для dev upload.path будет /home/Desktop/uploads, а для prod профиля будет uploads/ и т.д.

Во-вторых - а как быть с безопасностью? Как-то же надо фильтровать то, что мне загружают? А то скрипт какой-нибудь загрузят или ещё что-то. Как это вообще отслеживать?

Обычно, делают проверку MIME type, как на клиентской стороне, так и на стороне сервера.

Например, средствами js можно запретить загрузку других файлов, кроме image/* и т.д.
Тоже самое делаю на сервере. Проверяют формат загруженного файла и если он не соответствует ожидаемому MIME type, то выбрасывают исключение и удаляют файл.

Как отслеживать оставшееся место на диске?

Смотря, что подразумевается в данном случае. Если хостинг, то java.nio подойдет. А если это amazon s3 или другой сервис, то смотрите документацию к REST API.