ne, v rozporu nejsme.
Ano, myslím, přesně ten příklad, co jsi uvedl, je to jen hello world nad https, musíš si přes api dozapnout a doimplementovat SessionCache a její uvolňování, stejně tak je potřeba myslet na nedokončené inicializace session a spousty malých drobností, které se dají zneužít ke shození serveru.
Ano, pro vývoj nebo pro intranety je to super, používáme, užíváme, nemám výtku. Provozovat veřejně a produkčně to lze, ale je k tomu potřeba ještě spousta drobné práce a ladění.