Me pregunto si regenerar la identificación de la sesión después de un inicio de sesión exitoso es realmente una buena práctica y no solo una especie de comportamiento de culto de carga.

Si entiendo la teoría correctamente, debería evitar el secuestro de sesión (o al menos hacerlo más difícil), pero realmente no puedo ver que si alguien pudiera robar la sesión previa al inicio de sesión, lo que evitaría que el phisher lo vuelva a hacer con el regenerado .

No me estoy enfocando en Spring (ni siquiera uso Java actualmente), estoy interesado en los pros y los contras.