Мне интересно, действительно ли восстановление идентификатора сеанса после успешного входа в систему является хорошей практикой, а не просто своего рода поведением культа груза.
Если я понимаю, Согласно теории, это должно предотвратить захват сеанса (или, по крайней мере, усложнить его), но я не могу понять, что, если кто-то сможет украсть сеанс до входа в систему, что помешает фишеру сделать это снова с восстановленным.
I Я не сосредотачиваюсь на Spring (в настоящее время я даже не использую Java), меня интересуют плюсы и минусы.