Websphere Liberty Profile 16.0.0.2でSpringアプリケーションを実行しています。ログインに成功すると、要求ヘッダーにJESというJSESSIONID Cookieが表示されます。セッションを無効にして新しいセッションを作成します。次のリクエストには、セッションの無効化後に期待どおりの新しいものではなく、同じJSESSIONID Cookie値(J1)が含まれています。JSESSIONIDは、セッションの無効化後にWebsphere Liberty Profileによって再利用されます。
いくつかの調査の後、server.xmlで次のセッション管理設定を試しました。
<httpSession idLength="28" invalidateOnUnauthorizedSessionRequestException="true" cookieSecure="true" useInvalidatedId="false"></httpSession>
でも、動作は同じです。
興味深いことに、Tomcat 8に同じWebアプリケーションをデプロイすると、期待通りに異なるJSESSIONIDクッキー値が表示されます。 WLPでは何かもっと頑固です。提案してください。