Если вы получаете сеанс через sessionFactory.openSession(), вам нужно закрыть его извне. Открытая сессия в течение непредвиденного периода может привести к утечке данных. Кроме того, он может дать приглашение угрозе безопасности веб-приложений.
sessionFactory.openSession()