W porządku. To, co chcę zrobić, to zaktualizować użytkownika, unieważnić każdą aktualnie posiadaną sesję, aby wymusić odświeżenie poświadczeń. Nie obchodzi mnie możliwość bezpośredniego dostępu do danych użytkownika specyficznych dla sesji. W idealnej sytuacji mógłbym również ograniczyć użytkowników do jednej sesji w podobny sposób.

Próbowałem stworzyć HashMap używając nazwy użytkownika jako klucza i HttpSession jako wartości (moja rzeczywista konfiguracja jest trochę bardziej zaangażowana, ale po powtarzających się niewytłumaczalnych niepowodzeniach sprowadziłem ją do tego prostego testu). Jednak za każdym razem, gdy próbuję poinformować pobraną HttpSession o unieważnieniu, wydaje się, że unieważnia ona bieżącą sesję [admin]. Czy HttpSession jest nierozerwalnie związany z bieżącym żądaniem?

Czy może istnieje zupełnie inny sposób radzenia sobie z tym?

Jeśli tak się stanie, używam Jetty 6.1.26.