Обработка сеанса при входе в систему с защитой от XSRF (межсайтовый- request-forgery) в GWT

Я реализовал простое приложение GWT, включающее службу входа в систему (LoginService) и рабочую службу (WorkerService). Оба GWT-RPC. Я защитил все службы от XSRF, реализовав последний XsrfProtectedServiceServlet GWT (см. GWT Xsrf-Safe Sample Projetct ).

Реализуя этот пример, идентификатор сеанса создается в файле JSP сразу при получении страницы загружен. В этом случае, даже если пользователь не входит в систему.

Это правильный подход? Или мне нужно создать идентификатор сеанса (установив файл cookie) в LoginService? Но при такой реализации не будет ли сам LoginService уязвимым для атаки XSRF?

Спасибо, Паскаль