Nie mogę "wysniffować" ustawienia cookie z JSESSIONID w Springu

Cześć,

Nie piszę w Javie ani w Springu, ale trafiło mi się zadanie automatyzacji odczytu danych ze strony internetowej, która na 100% na tym stoi.
Problem, z którym walczę dłuższą chwilę jest taki, że za Chiny Ludowe nie mogę złapać momentu, w którym serwis ustawia cookie z JSESSIONID.

Gdy otwieramy serwis w przeglądarce GET / nie ustawia żadnych ciastek. Potem lecą requesty po rózne assety, potem jako XHR leci sprawdzenie do /auth /active, czy jesteśmy zalogowani. Ten request już wali cookie: JSESSIONID=xxxxx!

Sprawdzałem różnymi przeglądarkami, curlem - nigdzie nie potrafię wyciągnąć momentu pierwszego set-cookie z JSESSIONID.

Czy powodem może być combo https, httpOnly = true, secured = true? Wydaje mi się to dziwne, że ciastka wtedy nie widać nawet z poziomu bibliotek do połączeń http, przecież jakoś je trzeba ustawić robiąc kolejny, zwrotny request do serwisu...

Jakieś pomysły? :)

Na ciastkach się możliwości nie kończą, oj nie.

Są ukryte pola, nagłówki, elementy URL, jakby chcieć uzłośliwiać, to pamięć ś.p. flasha czy local storage (to tak pobieżnie).
A w nowszych rozwiązaniach JSESSIONID widać coraz rzadziej, to zasłużona ale mocno stara technika.

W Javie łatwo się pisze wielowarstwowo, więc coś, co by robione ręcznie było trudne (bo ja wiem ... hidden) staje się łatwe

To wygląda mi na jakiegoś OAutha czy innego CASa.

1. Leci GET
2. Wyciągane są wszystkie assety
3. Leci request do /auth gdzie ustawiane jest cookie

Jeśli to Spring to jest to pewnie zrobione w oparciu o Spring Security czyli musisz przejrzeć konfigurację filtrów.

EDIT: a próbowałeś patrzeć, która odpowiedź przynosi ci set-cookie?