Вы можете запустить таймер, равный времени ожидания вашего сеанса, наряду с непрерывным запросом ajax, который будет выводить пользователя из системы, если страница никогда не обновляется. Другая идея заключается в размещении URL-адреса, на который вы переходите, в отдельном веб-приложении в одном домене. Я не уверен, что в Spring есть что-то встроенное для того, что вы делаете.
Я думал об этом еще немного. Вы можете реализовать свой собственный реестр сеансов, который игнорирует URL-адреса Ajax. По сути, вы не установили бы время последнего обращения к пользователю в реестре сеанса, если URL-адрес совпадает с тем, который вы определили в своем списке игнорирования или фильтре, определенном в цепочке фильтров Spring Security.
См. SessionRegistry