久しぶりのJSPで久しぶりにはまった。

なぜかinvalidateしたSessionが次回のアクセス時に復活している・・・
あんでだ？

try {
session.invalidate()
forward()
}finally {
  //ここでrequest.getSession(false)がnullじゃないわけです。
}

って調査してたんだけど全然わからず、
forwardするあれなの？なんて疑ったりもしたり・・・
んでまぁよくよく調べると
遷移先のjspでの暗黙のsessionを無効にしていなかったせいでした。

不要ならちゃんとページディレクティブでsession="false"を指定しましょうというお話。