セキュリティ制約を使用してリソースへのアクセスをロックダウンする Java Web アプリケーションがあります。Ajax リクエストで認証が必要な場合に HTTP 401 レスポンスを操作しようとしているので、レスポンスの HTTP ステータスを監視し、必要に応じて変更するフィルタを作成しました。
問題は、認証が必要な場合、401 がブラウザーに送信されるまでフィルターが呼び出されないように見えることです。セキュリティ制約は、リクエスト処理チェーンのフィルターより前にあるようです。私のフィルターの url-pattern は、どのセキュリティ制約よりも一般的です。プラットフォームは WebSphere です。
サーブレット 2.5 仕様でセキュリティ制約とフィルターの優先順位が指定されている場所がわかりません。私は何かを逃しましたか?