Olá pessoal,
Caso o browser esteja desabilitado para cookies a sessão será propagada através da url, certo?
Um cookie guarda no browser do usuário a chave da sessão dele.
Quando ele faz a requisição esse valor é enviado.
valeu jukkinha 
valeu jukkinha
Não, A sessão não é thread-safe simplesmente porque cada requisição é tratada pelo container em uma thread separada. Nesse cenário, você pode ter várias threads acessando o mesmo objeto session sem nenhum mecanismo de sincronização, o que pode provocar inconsistência no estado da aplicação.
E sobre o gerenciamento da sessão, resumidamente funciona assim: você abre seu navegador e acessa a página da aplicação. O container verifica se existe uma sessão criada para você e, caso negativo, a cria e associa a ela um número chamado jsessionid. Então na sua próxima requisição o container recupera o jsessionid a partir da sua requisição e efetua o reconhecimento. Como? Se seu navegador suportar cookies, no seu computador fica um cookie que armazena o jsessionid; se não suportar, o jsessionid é passado pela URL mesmo, concatenado ao final. Faça o teste! Desabilite os cookies do seu navegador e acesse alguma aplicação web em Java - o GUJ, por exemplo. Verifique o jsessionid ao final da URL.
valeu tnaires…