Это файл cookie, аналогичный тому, как сервлет поддерживает сеансы. Если куки отключены, вам придется прибегнуть к перезаписи URL. Согласно FAQ здесь .
"Все, что он видит, это HTTP-запросы, и он связывает их с определенным сеансом в соответствии со значением cookie-файла JSESSIONID, который он содержит. Когда пользователь проходит аутентификацию во время сеанса, одновременный контроль сеанса Spring Security проверяет количество других аутентифицированных сеансы, которые у них есть. Если они уже аутентифицированы в том же сеансе, то повторная аутентификация не будет иметь никакого эффекта. "
также
"Если у клиентов отключены файлы cookie, и вы не переписываете URL-адреса, чтобы включить jsessionid, сеанс будет потерян. Обратите внимание, что использование файлов cookie является предпочтительным по соображениям безопасности, поскольку оно не раскрывает информацию о сеансе в URL. "
См. здесь для функции единого входа