Hola arecita,
En realidad no es gran problema definir el tiempo de sesion de usuario; en el 'web.xml' de tu aplicacion define lo siguiente:
Código HTML:
<session-config>
<session-timeout>30</session-timeout>
</session-config> Donde se define, por ejemplo, un tiempo de sesion de 30 min. Y si me permites un consejo, puedes administrar las sesiones de tu aplicacion con 'Listeners' (HttpSessionListener).
Un saludo
