spring security+spring session 实现用户单个登录 偶尔报session-fixation attacks

小弟最近用spring security+spring session 实现用户单个登录 后端是2个tomcat 用nginx 轮询负载，但是在用户频繁注销登录 偶尔就会提示 Your servlet container did not change the session ID when a new session was created. You will not be adequately protected against session-fixation attacks。集成的配置都是从security 官网查的 。很费劲 谷歌 百度都没有遇见类似的 问题。

session.invalidate();
session = request.getSession(true); // we now have a new session

就这么2句 有时候获取不到新的session。导致 security 的验证过不去
有没有大佬 遇见过类似的问题 小弟求解答 万分感谢