Либо пользователя там нет, либо есть средства другого сеанса.Напечатайте следующее в обеих JSP
${pageContext.session.id}
и проверьте, совпадают ли они.Если они одинаковы, то пользователь просто (правильно) не был помещен или доступ к нему в сеансе в первую очередь.Если они отличаются, то сеанс только что истек или признан недействительным, или в URL-адресе есть средства из другого контекста или даже другого домена.Сессия связана именно с конкретным доменом и контекстом.Однако можно совместно использовать сеанс в разных контекстах одного и того же домена, но как настроить его, зависит от используемого сервлет-контейнера.