Gostaria de saber se a regeneração do ID da sessão após um login bem-sucedido é realmente uma boa prática e não apenas um comportamento de culto à carg

Se eu entendi a teoria corretamente, ela deve impedir o seqüestro de sessões (ou pelo menos dificultar), mas não consigo ver se alguém poderia roubar a sessão de pré-login, o que impediria o phisher de fazê-lo novamente com a regenerada .

Não estou focando no Spring (nem uso Java atualmente), estou interessado nos prós e contra