долго тебе их читать и изучать.

как в спринг бут спринг секьюрити установить время жизни сессии на 30 сек?

server.session-timeout=30
server.session.timeout=30
server.session.cookie.max-age=30

них не работает

кароче такая у меня проблема. настроил спирнг секьюрити так что все запросы могут проходить только через пользователя с ролью юзер. поставил таймаут сессии. открываю страницу жду 30 секунд сессия дохнет. обновляю страницу - меня редиректит на страницу авторизации. все ок. но если я не обновляю страницу и пытаюсь выполнить на ней  ajax запрос - то он отлично вполняется на дохлой сессии. как это исправить? в кажом методе контроллера который дергается  ajax ом делать проверку на жизнь сессии, и если мертвая отправлять ошибку которую ловить на стороне  js  обрабатывать ее и тд.?

нет, сек конфиг - единая точка входа . покаж спринг-сек-конфиг

http.authorizeRequests().
               antMatchers("/css/**").permitAll()
               .antMatchers("/", "/index/**").hasRole("USER")
               .anyRequest().hasRole("USER")
               .and()
               .formLogin()
               .loginPage("/login").permitAll().defaultSuccessUrl("/index")
               .and()
               .logout().logoutUrl("/logout").permitAll().logoutSuccessUrl("/login");
       http.csrf()
               .disable()
               .authorizeRequests()
               .antMatchers("/resources/**", "/**").permitAll()
               .anyRequest().permitAll()
               .and();

а роль ты как присваиваешь ? у тебя одна роль на всех что ли?

да

если прошел  LDAP авторизацию и вторую авторизацию в базе то присваиваетсмя роль

обычные запросы работаю норм тоесть редиректит а вот  ajax нет

а попробуй забить на роль и проверять fullyAuthenticated()\authenticated()

хотя , не очень удобно, если авторизация в два этапа -непонятно, когда он уже авторизован

а слушай

.antMatchers("/resources/**", "/**").permitAll()
               .anyRequest().permitAll()

у тебя здесь все запрос разрешены)

на ресурсы

естественно

, "/**"

на все