Strutsを利用していると、必ずアクションクラスに来る前にHttpSessionオブジェクトが作られることを某掲示板で知りました。*1

ってことはアクションクラスでセッションが切れたかどうかチェックしてるのって全く意味ないのか。。全部作り直しだな。。。

HttpSession session = request.getSession(false) 
if(session == null){ //←絶対nullにはならない
 throw new SessionException();
}

こうではなくて

HttpSession session = request.getSession(false)
if(session.getAttribute("user") == null){ 
 throw new SessionException();
}

こうしなければいけない。そういえば開発中はセッション切れたことなかったな。。
そもそもセッションチェックはFilterかAOPでやるべきなんかな。。まだまだ勉強不足。。