Ответ 1
Вы можете установить тайм-аут сеанса (скажем, 60 минут) для всех сеансов в web.xml:
<session-config>
<session-timeout>60</session-timeout>
</session-config>
или для каждого сеанса, используя
session.setMaxInactiveInterval(60*60);
последний, который вы, возможно, захотите сделать в авторизацииSuccessHandler.
<form-login authentication-success-handler-ref="authenticationSuccessHandler"/>