Вы можете добавить Spring Security с разрешением на все, без входа в систему, и он будет управлять вашим сеансом автоматически для каждого гостевого пользователя и автоматически добавит заголовок пользователя JSESSIONID.
И вы можете сказать Spring, чтобы всегда создавали пользовательский сеанс в вашей конфигурации веб-безопасности:
protected void configure(HttpSecurity http) throws Exception {
http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.ALWAYS)
, и если в будущем вы внедрите аутентификацию пользователя, вы можете легко ограничить максимальный сеанс / пользователя, установив .maximumSessions().