[Seasar-user:20149] 認証成功後のセッション再取得について

[[E-MAIL ADDRESS DELETED]]

お世話になっております。富士と申します。

J2SDK 1.5.0.22
Tomcat5.5.23
s2-framework-2.4.39
teeda-extension-1.0.13-sp7
現在、上記環境にて、WEBシステムを開発しています。

セキュリティ上の観点から、
ログイン認証成功後、セッションの再取得(切り替え)を行いたいと思い、
現在、認証成功後、セッションをinvalidate()し、
getSession(True)にて再取得を行っています。
セッションには、@Component(instance = InstanceType.SESSION)を宣言した
ユーザ情報のDTOを保持しています。

認証処理中に、それらのユーザ情報を取得、セッションへ格納しているので、
invalidate()する前に、内容を退避、改めて格納しているのですが、
次の画面に遷移した際に、中身が空になってしまいます。

invalidate()直後に、セッション内のユーザ情報を入れ替えた場合、
画面遷移後、セッションの中身はクリアされてしまうものなのでしょうか。
そもそも、セッションの切り替えをするのに、
invalidate()を呼んではいけないのでしょうか。

内容が曖昧で申し訳ありませんが、
よろしくお願い致します。



--------------------------------------
Get the new Internet Explorer 8 optimized for Yahoo! JAPAN
http://pr.mail.yahoo.co.jp/ie8/