Estou mantendo um aplicativo da web Java.

Examinando o código de logon, ele obtém um HttpSession do HttpServletRequest através do método getSession () do HttpServletRequest. (Ele usa alguns valores na sessão para fins de autenticação)

No entanto, estou preocupado com os ataques de fixação da sessão. Depois de usar a sessão inicial, desejo iniciar uma nova sessão ou alterar o ID da sessão. Isso é possível?