आपको इसे दूसरे अनुमान पर मिला।
कुकी में एक JSESSIONID है। उस आईडी का उपयोग उस मानचित्र में उपयोगकर्ता के HttpSession को देखने के लिए किया जाता है जो सर्वर बनाए रखता है। कम से कम यह सबसे आम तरीका है। सर्वर अधिक कार्यान्वित तरीके हैं कि सर्वर इसे कार्यान्वित कर सकता है, लेकिन पूरे राज्य को एक कुकी में आगे पीछे हटाना उनमें से एक नहीं है।
इसमें कुछ प्रभाव हैं। सबसे पहले, यदि सर्वर नीचे चला जाता है, तो आप सत्र स्थिति खो देते हैं। दूसरा, यदि आपके पास सर्वर क्लस्टर है, तो आपको प्रत्येक बार एक ही सर्वर से उपयोगकर्ता को कनेक्ट करने की आवश्यकता है, या वे बाद के अनुरोधों के बीच अपना सत्र खो देंगे। आखिरकार, सत्र अपहरण एक संभावना बन जाता है अगर किसी को किसी और के JSESSIONID की प्रतिलिपि बनाने और उनके साथ प्रतिस्थापित करने का कोई तरीका मिल जाए।
संबंधित: http://stackoverflow.com/questions/3106452/java-servlet-instantiation-and-session-variables/3106909#3106909 – BalusC