se non metti un controllo lui genera una nuova sessione e funziona
per un controllo di autenticazione devi delegare a un buon application server