カテゴリ: SpringのWeb開発(Spring MVC) 更新日: 2026/02/09

Spring MVC / Spring Boot におけるセッション有効期限(timeout)の基本をやさしく解説

Spring MVC / Spring Boot におけるセッション有効期限(timeout)の基本
Spring MVC / Spring Boot におけるセッション有効期限(timeout)の基本
新人と先輩の会話形式で理解しよう

新人

「Spring MVCでログイン機能を作っていると、しばらく操作していないだけで急にログアウトされることがあるんですが、あれってどういう仕組みなんですか?」

先輩

「それはセッションの有効期限、いわゆるtimeoutが切れている状態だね。Spring MVCやSpring Bootでは、ログイン状態をセッションで管理していることが多いんだ。」

新人

「セッションって、ログイン情報を覚えておく仕組みですよね?でも、ずっと残っているわけじゃないんですか?」

先輩

「ずっと残ってしまうと困る場面もあるんだよ。だからこそ、有効期限が設定されている。その理由を順番に見ていこう。」

1. セッションとは何か(Spring MVC視点での基本)

1. セッションとは何か(Spring MVC視点での基本)
1. セッションとは何か(Spring MVC視点での基本)

Spring MVCにおけるセッションとは、 ユーザーごとの状態を一時的にサーバ側で保持する仕組みです。 Webアプリケーションでは、 画面を遷移するたびに毎回リクエストが送られますが、 そのたびに同じ利用者であることを判別する必要があります。

そのために使われるのがHTTPセッションです。 セッションには、ログイン情報や入力途中のデータなど、 「その利用者だけに紐づく情報」を保存できます。 Spring MVC セッション は、 コントローラの処理中で自然に扱えるように設計されています。

初心者の方は、 セッションを「画面間で値を受け渡す箱」のように イメージすると理解しやすくなります。 例えば、ログイン成功時にユーザー情報をセッションに保存しておけば、 別の画面でもその情報を利用できます。 


@Controller
public class SessionSampleController {

    @GetMapping("/login")
    public String login(HttpSession session) {
        session.setAttribute("loginUser", "user01");
        return "menu";
    }
}

この例では、 ログイン処理の中でセッションに値を保存しています。 その後のリクエストでは、 同じセッションを通じてログイン状態が維持されます。 これが、Spring MVCでよく使われるセッション管理の基本です。

ただし、このセッションは永久に残るものではありません。 一定時間操作が行われないと、 自動的に無効になる仕組みが用意されています。 それがセッションの有効期限、timeoutです。

2. セッションに有効期限(timeout)が存在する理由

2. セッションに有効期限(timeout)が存在する理由
2. セッションに有効期限(timeout)が存在する理由

セッションに有効期限が設定されている最大の理由は、 セキュリティとリソース管理のためです。 もしセッションが無期限で残り続けてしまうと、 利用者が離席した端末から不正に操作される危険があります。

特にログイン状態を保持するセッションでは、 一定時間操作がなければログアウトさせることが重要です。 これにより、 第三者によるなりすましや情報漏洩のリスクを減らせます。 セッション timeout 基本 を理解するうえで、 この視点は欠かせません。

また、サーバ側の負荷を抑える意味もあります。 セッションはサーバのメモリを使用するため、 使われなくなったセッションをいつまでも保持すると、 アプリケーション全体の性能に影響が出ます。 timeoutは不要になったセッションを自動的に破棄する役割も担っています。

ログイン状態が切れる理由を具体的に考えると、 「一定時間リクエストが送られていない」 という条件がポイントになります。 ブラウザを開いたまま何も操作しなければ、 Spring MVC セッション は更新されず、 やがて有効期限に達して無効になります。 


@Controller
public class CheckSessionController {

    @GetMapping("/check")
    public String check(HttpSession session) {
        Object user = session.getAttribute("loginUser");
        if (user == null) {
            return "login";
        }
        return "menu";
    }
}

このように、 セッションが切れているかどうかで 表示する画面を切り替えることもできます。 セッションが存在しない場合は、 ログイン画面に戻すといった制御が一般的です。

Spring MVCやSpring Bootにおけるセッション有効期限は、 「なぜログイン状態が切れるのか」 を理解するための重要な基礎知識です。 この仕組みを知っておくことで、 セッション管理に関する疑問や不具合の原因が 見えやすくなります。

3. セッション有効期限(timeout)はどこで管理されているのか

3. セッション有効期限(timeout)はどこで管理されているのか
3. セッション有効期限(timeout)はどこで管理されているのか

Spring MVC セッション管理 を理解するうえで、 多くの初心者が疑問に感じるのが、 「セッションの有効期限は、いったいどこで管理されているのか」 という点です。 コントローラの中にtimeoutの処理を書いていないのに、 自然とログイン状態が切れるため、 不思議に感じることがよくあります。

セッションの有効期限は、 各コントローラが個別に管理しているわけではありません。 実際には、Webアプリケーション全体を支えている サーバ側のセッション管理機構によって一元的に管理されています。 Spring MVCは、その仕組みを利用している立場です。

セッションが「生きている状態」とは、 最後にリクエストが送られてから、 まだ有効期限に達していない状態を指します。 画面遷移やボタン操作が行われるたびに、 セッションは更新され、 有効期限までのカウントがリセットされます。

一方で「切れている状態」とは、 一定時間まったくリクエストが送られず、 サーバ側でセッションが破棄された状態です。 この場合、以前保存していたログイン情報などは参照できません。

Spring MVCでは、 HttpSessionオブジェクトを通じて セッションにアクセスしますが、 timeoutそのものを意識して操作することはほとんどありません。 そのため、裏側で何が起きているのかを 文章として理解しておくことが重要です。 


@Controller
public class SessionStateController {

    @GetMapping("/state")
    public String state(HttpSession session) {
        if (session.isNew()) {
            return "login";
        }
        return "menu";
    }
}

このように、 セッションが新しく作られた状態かどうかを確認すると、 すでに有効なセッションが存在するかを判断できます。 ただし、これはtimeoutの値そのものを操作しているわけではなく、 セッションの状態を確認しているだけです。

4. Spring Bootにおけるデフォルトのセッションtimeoutの考え方

4. Spring Bootにおけるデフォルトのセッションtimeoutの考え方
4. Spring Bootにおけるデフォルトのセッションtimeoutの考え方

Spring Boot セッション timeout について考えるとき、 まず押さえておきたいのは、 「何も設定しなかった場合でも、timeoutは存在する」 という点です。 Spring Bootでは、 明示的に設定をしなくても、 デフォルトの有効期限が適用されています。

このデフォルト値は、 アプリケーション全体に共通で使われます。 つまり、ある画面だけ長く保持する、 別の画面はすぐ切れる、 といった挙動は、 特別な設計をしない限り起こりません。

初心者の方が混乱しやすいのは、 timeoutの設定が コントローラではなく、 設定ファイル側に存在する点です。 Spring Bootでは、 application.propertiesなどの設定ファイルで、 セッションに関する基本方針を決めます。

ただし、 この段階では詳細な数値設定を覚える必要はありません。 「設定ファイルで、 セッションの寿命をまとめて管理できる」 という考え方を理解しておくことが大切です。

実務では、 セキュリティ要件や利用シーンに応じて timeoutの長さを調整しますが、 まずはデフォルトの考え方を知ることが、 Spring MVC セッション管理 の第一歩になります。 


@Controller
public class DefaultTimeoutController {

    @GetMapping("/default")
    public String defaultTimeout(HttpSession session) {
        session.setAttribute("data", "value");
        return "default";
    }
}

このコードでは、 timeoutを一切意識していませんが、 実際にはSpring Bootのデフォルト設定に従って セッションが管理されています。 この「意識しなくても動いている」点が、 初心者にとって分かりづらいポイントでもあります。

5. timeoutが切れたときにSpring MVCで何が起こるのか

5. timeoutが切れたときにSpring MVCで何が起こるのか
5. timeoutが切れたときにSpring MVCで何が起こるのか

セッション timeout が切れたとき、 Spring MVCで何が起こるのかを正しく理解することは、 ログイン制御を設計するうえで非常に重要です。 多くの人は、 「エラーが発生する」 というイメージを持ちがちですが、 実際の挙動はもう少し穏やかです。

timeoutが切れると、 サーバ側では そのセッションが存在しないものとして扱われます。 次にリクエストが送られてきたとき、 以前のセッションは使われず、 新しいセッションが作成されます。

その結果、 セッションに保存していたログイン情報や状態は、 すべて失われます。 Spring MVCは、 それをエラーとして扱うのではなく、 「セッションに値が入っていない」 という通常の状態として処理します。

ここで重要なのが、 「ブラウザを閉じた場合」との違いです。 ブラウザを閉じても、 サーバ側のセッションがすぐに消えるとは限りません。 timeoutの時間内であれば、 再度アクセスした際に セッションが復活することもあります。

一方で、 timeoutが切れている場合は、 ブラウザを開いたままでも、 ログイン状態は復元されません。 この違いを理解していないと、 動作確認の際に混乱しやすくなります。 


@Controller
public class TimeoutResultController {

    @GetMapping("/afterTimeout")
    public String afterTimeout(HttpSession session) {
        if (session.getAttribute("loginUser") == null) {
            return "login";
        }
        return "menu";
    }
}

このように、 timeout後は セッション属性が存在しない前提で処理を行います。 Spring MVC セッション管理 では、 timeoutを検知する特別な例外が出るわけではなく、 「値がない状態」として扱われる点を しっかり押さえておく必要があります。

次のステップでは、 セッションtimeoutを前提とした設計や、 利用者にとって分かりやすい挙動を どのように実装するかを考えていくことになります。

6. セッションtimeout設計でよくある注意点

6. セッションtimeout設計でよくある注意点
6. セッションtimeout設計でよくある注意点

Spring MVC セッション timeout 設計 を行う際、 初心者が最初につまずきやすいのが、 「とりあえず長くしておけば安心」 という考え方です。 一見すると、ログイン状態が長く維持できて 利用者にとって便利に思えますが、 実際には多くのリスクを含んでいます。

セッションtimeoutが長すぎる場合、 利用者がログアウトしないまま席を離れたときに、 第三者がそのまま操作できてしまう可能性があります。 特に社内システムや業務システムでは、 このリスクは無視できません。

逆に、timeoutが短すぎる場合も問題です。 少し考え事をしているだけでログアウトされてしまうと、 利用者は何度もログインし直す必要があり、 操作性が大きく低下します。 実務では、 「セキュリティ」と「使いやすさ」の バランスを取ることが重要になります。

もう一つよくある注意点として、 セッションが切れたことを 想定していない実装があります。 セッションが存在する前提で処理を書いてしまうと、 timeout後に想定外の画面遷移や エラーが発生する原因になります。

Spring MVCでは、 セッションが切れても例外が必ず発生するわけではありません。 単に値が取得できなくなるだけなので、 開発者側で明示的にチェックする必要があります。 セッション管理 注意点 として、 この前提を必ず意識しておく必要があります。 


@Controller
public class TimeoutCheckController {

    @GetMapping("/secure")
    public String secure(HttpSession session) {
        if (session.getAttribute("loginUser") == null) {
            return "login";
        }
        return "securePage";
    }
}

このように、 セッションが存在しない場合の分岐を 明示的に書いておくことで、 timeout後でも安定した挙動を実現できます。 セッションtimeoutは 「いつか必ず切れるもの」 という前提で設計することが重要です。

7. セッション切れを前提にした画面・処理の考え方

7. セッション切れを前提にした画面・処理の考え方
7. セッション切れを前提にした画面・処理の考え方

Spring MVC セッション管理 では、 セッション切れを 例外的な出来事として扱うのではなく、 「通常起こり得る状態」 として設計することが大切です。 これにより、 実際の運用でトラブルが起きにくくなります。

セッション切れを前提にした設計では、 まず「どの画面がログイン必須なのか」を 明確にします。 ログイン必須の画面では、 セッションが存在しない場合に 必ずログイン画面へ戻すようにします。

一方で、 トップページや案内画面など、 ログインしていなくても表示できる画面では、 セッションの有無に依存しない処理を行います。 すべての画面でセッションを前提にしないことが、 安定した画面設計につながります。

また、 セッション切れが発生したときに、 いきなりエラー画面を表示するのではなく、 「ログイン状態が切れたため、再度ログインしてください」 といった流れを作ることも重要です。 利用者にとって理由が分からない挙動は、 不安や混乱の原因になります。

Spring MVCでは、 コントローラ単位で セッションの有無を確認できるため、 このような制御を 比較的シンプルに実装できます。 セッションtimeout設計は、 画面設計と密接に関係している点を 意識しておきましょう。 


@Controller
public class PageFlowController {

    @GetMapping("/menu")
    public String menu(HttpSession session) {
        if (session.getAttribute("loginUser") == null) {
            return "login";
        }
        return "menu";
    }

    @GetMapping("/public")
    public String publicPage() {
        return "public";
    }
}

このように、 画面ごとに役割を分けることで、 セッション切れが発生しても 利用者にとって分かりやすい動きを実現できます。 セッション切れは避けられないものだからこそ、 それを前提にした画面遷移が重要になります。

8. 次に学ぶべきSpring MVCのセッション管理と認証設計

8. 次に学ぶべきSpring MVCのセッション管理と認証設計
8. 次に学ぶべきSpring MVCのセッション管理と認証設計

ここまでで、 Spring MVC / Spring Boot における セッション有効期限(timeout)の基本と、 設計上の注意点を見てきました。 次に意識すべきなのは、 「ログイン管理」や「認証」と セッションをどのように組み合わせるかです。

実務では、 単にセッションに値を入れるだけでなく、 「誰がログインしているのか」 「どの画面にアクセスしてよいのか」 といった制御が必要になります。 これらは、 セッション管理の延長線上にある考え方です。

Spring MVCでは、 まずはコントローラレベルで セッションを使ったログイン管理を理解することが重要です。 そのうえで、 より体系的な認証とセッション管理を学ぶ段階で、 Spring Securityといった仕組みが登場します。

いきなり高度な仕組みに進むのではなく、 今回学んだ セッションtimeoutの意味や役割を しっかり理解しておくことで、 次の学習がスムーズになります。 「なぜ無期限セッションにしないのか」 「なぜログイン管理が必要なのか」 を説明できる状態が理想です。

Spring MVC セッション timeout 設計 は、 認証設計の土台となる知識です。 次は、 セッションとログイン管理を組み合わせた設計や、 共通的な認証処理の考え方へと ステップアップしていきましょう。

コメント
コメント投稿は、ログインしてください

まだ口コミはありません。

関連記事:
Spring MVCでセッションを使ったショッピングカートの基礎実装 | Spring MVCでセッションを使ったショッピングカートの基礎実装をやさしく解説
カテゴリの一覧へ
新着記事
New1
Springの基本
Spring Bootの@ConfigurationPropertiesScanとは?設定クラス自動検出の仕組みを解説
Spring Bootの@ConfigurationPropertiesScanとは?設定クラス自動検出の仕組みを解説
New2
SpringのAPI開発(REST & GraphQL)
GraphQLのデータ取得(Resolverの仕組み)
Spring Boot GraphQLでResolverを理解しよう!初心者でもわかるデータ取得の基本
New3
SpringのAPI開発(REST & GraphQL)
GraphQLの基本構造(Query, Mutation, Subscription)
Spring Boot GraphQL入門!Query・Mutation・Subscriptionの基本を初心者向けに解説
New4
SpringのDB操作
JPQLのパラメータバインド(:name / ?1)の使い方
JPQLのパラメータバインド(:name / ?1)の使い方を完全解説!初心者でも迷わない基本の考え方
人気記事
No.1
Java&Spring記事人気No1
Thymeleaf
Thymeleaf とは?初心者向けにThymeleafの基本を徹底解説
Thymeleaf とは?初心者向けにThymeleafの基本を徹底解説
No.2
Java&Spring記事人気No2
SpringのWeb開発(Spring MVC)
DispatcherServletの仕組みを理解する
DispatcherServletの仕組みを理解する!初心者向け完全ガイド
No.3
Java&Spring記事人気No3
Springの基本
Spring Bootのデフォルトログ設定を徹底解説(Logback / SLF4J)
Spring Bootのデフォルトログ設定を徹底解説(Logback / SLF4J)
No.4
Java&Spring記事人気No4
SpringのDB操作
JPAの標準クエリメソッド(findById, findAll)
JPAの標準クエリメソッド(findById, findAll)を完全解説!初心者でもわかるデータ取得の基本
No.5
Java&Spring記事人気No5
SpringのWeb開発(Spring MVC)
@GetMapping, @PostMapping の基本
Spring Bootでの@GetMappingと@PostMappingの基本を完全解説!初心者でも理解できる使い方
No.6
Java&Spring記事人気No6
SpringのWeb開発(Spring MVC)
@Controller, @RestController の違い
@Controller と @RestController の違いを完全解説!初心者向けSpring MVC入門
No.7
Java&Spring記事人気No7
Spring認証(Spring Security)
セッション管理の基本(@SessionAttributes)
セッション管理の基本(@SessionAttributes)を完全解説!初心者でもわかるセッションの仕組み
No.8
Java&Spring記事人気No8
SpringのWeb開発(Spring MVC)
ループ処理(th:each)の基本
ループ処理(th:each)の基本を完全ガイド!Thymeafの繰り返し処理の使い方