Hola:
De hecho, request.getSession().invalidate() si destruye la sesión y borra todas las referencias a los objetos q estaban almacenados en ella. OJO: borra las referencias a los objetos, no los objetos en sí.
Si después deseas crear otra sesión para ese mismo request es suficiente con q hagas:
request.getSession(true)
Esto te crea una nueva sesión, con nuevo id y le envía al navegador una nueva cookie con ese id (en tomcat se llama JSESSIONID).
No explicas mucho acerca de la lógica de tu aplicación, ni mencionas q servidor de aplicaciones estás usando, pero lo q me extrañas es q dices:
Cita:
Iniciado por titogelo 
... si dos usuarios se loguean en la aplicacion (sin cerrar el navegador), es decir un usuario se loguea y cierra session y otro hace lo mismo sin cerrar el navegador, ambos tendran el mismo ID...
Eso no debe ser posible en un servidor de aplicaciones q se respete. Los valores de los id de las sesiones son aleatorios.
Suponiendo q solamente estás utilizando sesiones basadas en cookies; la única forma en q dos peticiones tengan el mismo Id (y por lo tanto compartan la misma sesión) es q en ambas peticiones venga la misma cookie y por supuesto q a esa sesión no le hayan ejecutado un 'invalidate'.
Cuando hiciste esa prueba: ¿Estaban ambos usuarios accediendo desde el mismo navegador, en la misma máquina? si es así no hay problema, el explorador simplemente utilizó la cookie q ya existía para el segundo usuario.
Un poco de información y código de la aplicación q estás haciendo sería necesario para ayudarte más.
un saludo;
Nup_