使用会话和cookie的Servlet身份验证

我需要实现简单的servlet用户身份验证（在Java动态Web项目中），但有些事情让我很困惑。

首先，servlet出于某种原因创建了cookie JSESSIONID，尽管我从未要求它这样做。此外，我不能更改它的值，如果我更改request.addCookie(new Cookie("JSESSIONID", session.getId()))，它会生成这样的东西：

Cookie: JSESSIONID=6B5B441038414B4381EDB7470018F90E; JSESSIONID=7890D45DF445635C49BDEB3CADA8AD99; .......

所以，它复制了cookie。

其次，我不确定在哪里比较cookie和会话的id，以及在哪里以及如何正确创建会话（即request.getSession(true? / false? / nothing?);）

我已经阅读了一些文档，但仍然需要帮助。

---

我有一个servlet HomeServlet，如果用户未通过身份验证，它应该将用户重定向到authentication页面。

以下是我的操作方法（HomeServlet.java）：

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        if(request.getSession().getAttribute("user") != null) {
            request.getRequestDispatcher("/WEB-INF/index.jsp").forward(request, response);
        } else {
            response.sendRedirect("authentication");
        }
    }

我还有AuthServlet，它为jsp页面提供身份验证表单并验证用户。

AuthServlet.java:

protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    String action = request.getParameter("ACTION");
    if ("login".equals(action)) {
        String[] result = doSomeValidations();
        if (result.size() > 0) { // show validation errors
            request.setAttribute("errorLoginMessage", result);
            request.setAttribute("email", email);
            doGet(request, response);
        } else { // authenticate user
            request.getSession().setAttribute("user", userObject);
            request.getRequestDispatcher("/WEB-INF/index.jsp").forward(request, response);
        }
    } else if ("signup".equals(action)) {
        // ...........................          
    } else {
        doGet(request, response);
    }
}

---

那么，你能帮我理解一下吗？如何实现用户身份验证并在整个会话中保持用户登录？

HttpSession jsession = request.getSession();  

 response.addCookie(new Cookie("JSESSIONID", jsession.getId()));