Как работают сеансы Spring, когда вы входите в форму по безопасности Spring, как описано в этом руководстве? http://static.springsource.org/spring-security/site/tutorial.html
На основе файлов cookie? Я не уверен, что именно происходит, что позволяет пользователю войти в систему, запомнить и сохранить вас в системе до конца сеанса просмотра.