Spring Security: истечение сеанса без перенаправления на expired-url?

Question

Я использую аутентификацию на основе форм Spring Security 3.0.2. Но я не могу понять, как я могу настроить его так, чтобы по истечении срока сеанса запрос не перенаправлялся на другую страницу (expired-url) или отображал сообщение «сеанс истекает».

Я не хочу никаких перенаправлений или сообщений, я хочу, чтобы анонимный сеанс запускался так же, как когда пользователь без сеанса заходит на сайт.

Моя текущая конфигурация:

<http>
  <intercept-url pattern="/login.action*" filters="none"/>
  <intercept-url pattern="/admin/**" access="ROLE_ADMIN" />
  <intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
  <form-login login-page="/login.action"
               authentication-failure-url="/login.action?error=failed"
               login-processing-url="/login-handler.action"/>
  <logout logout-url="/logoff-execute.action"
          logout-success-url="/logoff.action?done=1"/>
  <remember-me key="remember-me-security" services-ref="rememberMeServices"/>
  <session-management >
    <concurrency-control max-sessions="1"
                         error-if-maximum-exceeded="false"
                         expired-url="/login.action?error=expired.url"/>
  </session-management>
</http>

Answer 1

Вы можете попробовать:

    <logout invalidate-session="true"
             logout-url="/LoginPage.jsf?error_logout=logoutComSucesso"/><!--invalido logout-success-url="/LoginPage.jsf?auth_error" -->
    <session-management session-fixation-protection="newSession" invalid-session-url="/LoginPage.jsf?error=sessionExpired"
                    session-authentication-error-url="/LoginPage.jsf?auth_error=BadCredencials" >
    </session-management>

Answer 2

Я бы сказал, что вы должны написать свой собственный фильтр.
Взгляните на документы по рамкам пружин .

Есть также очень пыльный образец, но я думаю, что он все ещесовершенно правильно: образец фильтра тайм-аута .