私はSpring BootでRESTful Web APIを構築しており、JWT認証の独自の実装と独自の承認も使用しています(Spring Securityではありません)。単純に JSESSIONID をオフにして完全にステートレスで実行したいのですが、Spring Security を有効にした後にのみセッションをオフにすることに関するドキュメントしか見つかりません(こちらを参照してください: Spring Boot がセッション cookieを発行しないようにする方法など)。Spring Security は必要ありませんし、HttpSession も JSESSIONID も必要ありません。
application.properties で server.session.timeout=0 を設定しても機能しますか? タイムアウトが 0 に設定されている場合、ドキュメントは動作を指定しません。