Если пользователь заходит на www.app1.com, и это приложение звонит на www.app2.com для загрузки данных, создаются ли два jsessionId - по одному для каждого домена?
Да.Точнее, каждое отдельное WebApp будет выдавать свой собственный файл cookie для своего домена.Так что www.app1.com/1 и www.app1.com/2 будут иметь разные cookie-файлы, если сопоставлены разные веб-приложения.
Аналогично, когда вызов поступает на www.app2.com,любая информация о jsessionid с сайта www.app1.com была передана?
Нет, но прочитайте о XSS и CSRF о том, почему защита вашего приложения хороша, потому что не сложно внедрить скриптыпередать файл cookie другому URL-адресу.
Какое влияние на это оказывают перенаправления?(Например, запрос http://app1.com/login.jsp перенаправляет на http://app2.com/login.jsp)
Нет вообще. Если вы уже вошли в оба, вы, вероятно, войдете в систему позже. Выход из системыодно не влияет на другое. (Если вы хотите, чтобы по-настоящему один / один выход был отключен, оба приложения должны доверять третьей стороне, такой как сервер CAS или сервер Kerberos).