Нужно отказаться от авторизации на основе session cookie, и перейти на авторизацию на основе JWT токена, у него есть payload, и scopes, то есть зоны применимости, включая кастомные свойтсва, время жизни токена, благодаря чему его можно авторизовать на клиенте, без обращения к БД, то есть серверу авторизации не нужно обращаться к базе данных, так как вся информация приходит в payload, и проверяется лишь валидность токена (его время жизни, и применимость к данному ресурсу), то есть вам нужно перейти на OAuth2 авторизацию (на базе JWT-токена), или JWT-авторизацию, реализовать одну из схем, и не использовать обращение к БД везде, где проходит валидация пользователя, ограничиваясь лишь валидацией сервера авторизации (1-2 мс), и сервера, возвращаюшего первоначальный токен с payload для пользователя. Так же, предуспотреть возможность отзыва и обновления токена.
