Идентификатор сеанса устанавливается диспетчером сеансов Tomcat - существует множество различных реализаций. Если вы измените идентификатор сеанса во время выполнения вашего приложения, вы можете нарушить некоторые предположения, сделанные Session Manager.
Чтобы изменить идентификатор, вам необходимо внедрить собственный менеджер сеансов. «Стандартный» способ сделать это - расширить ManagerBase . Вы также можете расширить StandardManager и переопределить generateSessionId () . Чтобы Tomcat использовал свой собственный менеджер сеансов, взгляните на конфигурацию Context и Manager в файле server.xml
Будьте очень осторожны при создании собственных идентификаторов сеансов. Сервер не может знать, действителен ли идентификатор в файле cookie. Если злоумышленник может угадать вашу последовательность ID, он может украсть сеансы других пользователей, просто установив значения cookie в своем HTTP-клиенте.