java – JSESSION / HTTPSession与应用程序制作的会话ID

从表面上看,看起来好像在我们的情况下,这样做将是一个很大的缺点,因为标准的JSESSION / HttpSession似乎是所有安全邪恶的根源：

>会话修复(现有代码会话仅在成功登录后创建,因此我们永远不需要使会话无效().
> CSRF – 会话永远不会作为cookie传递,所以这绝不是一个风险(上帝,这是一个有问题的处理,因为没有真正的框架或通用解决方案,因此检查HDIV和CSRFGuard).
>测试可用性 – QA可以轻松地让多个用户具有连接到同一服务器的多个角色,而JSESSION则无法实现.
>在各种容器(Weblogic,JBOSS和Websphere)中创建和失效的一致HTTPSession
>在HTTP到HTTPS之间移动时,JSession处理不一致.

所以,除了“标准”的明显优势之外,还有任何关于我为什么要进入JSESSION路线的线索？