将Session的失效时间设置为30分钟或更少,既能使用户在一段时间内与应用程序互动,又提供了一个限制窗口攻击的合理范围。 <session-config> <session-timeout>30</session-timeout> </session-config>
