По умолчанию tomcat создаст файл cookie сеанса для текущего домена.
Если вы находитесь на www.example.com, ваш файл cookie будет создан для www.example.com(будет работать только на www.example.com). Принимая во внимание, что для example.com он будет создан для .example.com(желаемое поведение, будет работать на любом субдомене example.com, а также на example.com).
Я видел несколько клапанов Tomcat, которые, похоже, перехватывают создание файлов cookie сеансов и создают заменяющий файл cookie с правильным доменом .example.com, однако ни один из них не работает безупречно, и все они, похоже, покидают существующие cookie и просто создать новый. Это означает, что два файла JSESSIONID отправляются с каждым запросом.
Мне было интересно, есть ли у кого-то окончательное решение этой проблемы.