リクエスト毎にThreadが再利用されてるから、必然的にThreadLocalも再利用されてるw
シングルサインオンで認証されたリクエストを受けるServlet実装しょって、何で別のHTTPSessionの認証情報が見えるんか一瞬理解できんかったw
認証情報をThreadLocalに持たせて*1るんで、最初のFilterでHTTPSessionに持たせてる認証情報をThreadLocalに持たせるようにして一件落着。
*1:認証情報をThreadLocalに持たせてるのは、ロジックをWebコンテナから切り離すのが目的