세션, 쿠키 생성되는 조건

네

세션ID 는 클라이언트가 서버에 접속하게 되면 세션쿠키 형태로 발급이 됩니다.

서블릿에서는 JSESSIONID 로 생성합니다.

일반적으로 세션 ID 는 인증과는 무관합니다.

인증은 세션 ID 를 가진 사용자가 본인이 맞는지를 검증하는 단계이지 서버가 인증유무에 따라 세션 ID 를 발급하는 것은 아닙니다.

서버에서는 클라이언트에서 가지고 온 세션 ID 를 기준으로 해서 세션영역에 저장된 여러가지 속성들을 관리합니다.

거기에 로그인 관련된 정보도 포함됩니다.

한가지 기억하실 점은 세션 ID 는 웹 환경일 경우에는 WAS 가 생성을 합니다. 

스프링 시큐리티가 직접 생성을 하지 않더라고 WAS 단에서 먼저 생성을 하기 때문에 브라우저 전달을 한다고 볼 수 있습니다.

Byunghyun Yoon 님께서 알고 계신 인증이 되어야만 세션이 생성된다는 부분은 스프링 시큐리티 관점에서는 그럴 수 있습니다

스프링 시큐리티는 기본적으로 인증을 하지 않거나 세션을 생성하지 않는 정책을 설정 할 경우 세션을 생성하지 않습니다. 하지만 만약 WAS 가 세션을 생성하거나 다른 영역에서 세션을 생성할 경우 그 세션을 사용합니다.

참고하시기 바랍니다.