@ techie_28 Если злоумышленник может получить доступ к чтению файлов cookie жертвы - тогда да. Но регенерация идентификаторов не защищает от этого, а скорее от фиксации сеанса: предположим, что злоумышленник устанавливает ваш идентификатор сеанса и вы входите в систему, теперь они знают идентификатор сеанса аутентифицированного пользователя. Если приложение восстанавливает идентификатор при входе в систему, они этого не делают.

аюсь вопросом, является ли регенерирование идентификатора сеанса после успешного входа в систему действительно хорошей практикой, а не просто своего рода поведением культа груза.

Если я правильно понимаю теорию, это должно предотвратить угон сеанса (или, по крайней мере, усложнить его), но я не могу понять, что если кто-то сможет украсть сеанс перед входом в систему, что остановит фишера, делающего это снова с восстановленным.

Я не концентрируюсь на Spring (я даже не использую Java в настоящее время), меня интересуют плюсы и минусы.