В Tomcat за создание идентификатора сеанса отвечает метод ManagerBase.generateSessionId(). Мне кажется, что идентификаторы сессии генерируются на основе случайных чисел. Вы можете сохранить IP-адрес клиента в сеансе и проверить его в своем веб-приложении, но, насколько мне известно, Tomcat этого не делает.
О целостности сессии: не могли бы вы определить это, пожалуйста? Об этом есть параграф в Спецификации Java-сервлета версии 3.0 , но это не так уж много:
7.1.4 Целостность сеанса
Веб-контейнеры должны поддерживать сеанс HTTP, пока
обслуживание HTTP-запросов от клиентов, которые не поддерживают использование файлов cookie. к
выполнить это требование, веб-контейнеры обычно поддерживают перезапись URL
механизм.