Если ваш браузер не принимает файлы cookie, сервер приложений должен поддерживать сеанс, используя jsessionid, переданный в URL. BlazeDS будет знать об этом и также добавит jsessionid к сообщениям AMF (а на клиенте он будет прочитан и добавлен к другим запросам).
Если это так, вы можете проверить этот пост ... есть несколько ссылок на пару статей. Если вы получили ошибку даже после прочтения статей (и применения предложений), было бы хорошо создать работающий тестовый пример (и я могу посмотреть на него).