Buenas, tengo unas dudas acerca de guardar las sesiones de los usuarios. Estoy utilizando Spring Security para tal efecto.

1. ¿donde se guarda las sesiones? ¿se guardan en las cookies o en otro sitio? Hay veces que he borrado las cookies y sigo logueado.

2. Tengo un problema, y es que cuando me logueo y pasa un tiempo sin tocar la aplicacion, cuando vuelvo a tocarla me salta un error que pone: atributo "user" no encontrado en la sesion. La clase User es la que guarda todos los datos de usuario. ¿alguna idea de porque pasa esto?

3. ¿que tengo que hacer para usar @secure en mi clase DAO, para que solo un usuario con cierto rol pueda acceder a ese metodo? He probado importando varias url pero me sigue dando error.

Gracias,

Un saludo