Хорошо. Что я хочу сделать, так это иметь возможность, когда я обновляю пользователя, лишать законной силы любой сеанс, который у них есть в настоящее время, чтобы вызвать обновление учетных данных. Я незаботиться о возможности прямого доступа к пользовательским данным сеанса. В идеале я также мог бы ограничить пользователей одним сеансом аналогичным образом.

Я попытался создать HashMap, используя имя пользователя в качестве ключа и HttpSession в качестве значения (моя фактическая установка немного сложнее, но после повторных, казалось бы, необъяснимых сбоев я свел его к этому простому тесту). Однако всякий раз, когда я пытаюсь сообщить извлеченному HttpSession о недействительности, он, похоже, делает недействительным текущий сеанс [admin]. HttpSession неразрывно связан с текущим запросом?

Или есть совершенно другой способ справиться с этим?

Если это имеет значение, ям с использованием Jetty 6.1.26.