как обновить cookie JSESSIONID после входа в систему

Продукт, над которым я работаю, прошел строгий аудит безопасности со стороны потенциального клиента, и они недовольны тем, что Tomcat устанавливает cookie JSESSIONID до того, как произошла аутентификация. То есть Tomcat устанавливает этот файл cookie при загрузке нашей страницы входа без сохранения состояния, но до входа в систему.

Они предлагают одно из следующих действий:

1. создать новый файл cookie JSESSIONID после входа в систему
2. предотвратить установку файла cookie JSESSIONID в первую очередь на странице входа в систему (т. Е. До того, как произойдет аутентификация)

I просматривали все, что связано с JSESSIONID на этом сайте, и не смогли найти простого ответа. Я просто надеюсь на идеи. Мои лучшие решения для каждого из них:

1. сразу после входа в систему клонировать сеанс (без идентификатора), копируя все атрибуты, аннулируя старый сеанс, создавая новый, копируя значения, связывая его с запросом и надеясь это работает.
2. создают фильтр сервлета в самом конце цепочки, который удаляет cookie JSESSIONID перед начальной загрузкой страницы входа. И затем надеюсь, что запрос на вход сработает без набора JSESSIONID.

Мне нужно немного поспать, но я попытаюсь сделать это утром.Было бы здорово получить отзывы или лучшие предложения от людей, которые намного умнее меня - таких, как вы!

Тем не менее, я опубликую здесь свои результаты, потому что похоже, что многие другие люди хотели сделать что-то подобное.