Как обрабатывать тайм-аут сеанса при использовании программной безопасности Servlet 3.0

Что касается программной безопасности Servlet 3.0, когда время сеанса истекает, нет возможности вызвать HttpServletRequest # logout () .

Остается ли пользователь авторизованным в JAAS?

Если да, то как лучше всего обрабатывать выход из JAAS после истечения времени ожидания сеанса?

Как контейнер обрабатывает последующий запрос пользователя на повторный вход в систему и создание нового сеанса после тайм-аута сеанса?

В стороне, каковы плюсы и минусы использования следующих трех подходов для обработки тайм-аута сеанса при использовании сервлета 3.0 программная безопасность:

1. HttpSessionListener # sessionDestroyed ()
2. Сделайте @ManagedBean @SessionScoped LoginManager реализацией HttpSessionBindingListener и сделайте что-нибудь в valueUnbound .
3. Добавьте аннотацию к методу в LoginManager с помощью @PreDestroy.

Любые другие предлагаемые подходы / советы по передовой практике, несомненно, будут оценены.