現象と原因
現象としては、Spring Security有効環境下で、ログイン画面を開いたあと長時間放置してからログインしようとすると正しいID・パスワードでも失敗する。
これの原因は、長時間放置のタイムアウトでCSRFトークンが無効になるため。タイムアウト後のログインでセッションが再作成されて認証処理そのものは成功するが、送信されるCSRFトークンは失効したものなので、最終的にログインは失敗する。
対策
CSRFがタイムアウトする前にログインページを定期的にリフレッシュする。参考: https://stackoverflow.com/questions/27501212/csrf-token-expires-during-login
<META HTTP-EQUIV="REFRESH" CONTENT="csrf_timeout_in_seconds">
また、参考URLにこれ以外の解決策も挙げられている。