Приоритет ограничения безопасности над фильтрами в сервлетах

Изучая ограничения безопасности и фильтры в сервлетах, я сделал следующие объявления в файле web.xml, который не сработал, как я ожидал:

<security-constraint>
    <web-resource-collection>
      <web-resource-name>BeerSelector</web-resource-name>
        <url-pattern>/SelectBeer.do</url-pattern>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
      </web-resource-collection>
     <auth-constraint>
        <role-name>Admin</role-name>
     </auth-constraint>
 </security-constraint>


  <filter>
   <filter-name>LoginFilter</filter-name>
   <filter-class>model.MyFilter</filter-class>
  </filter>


  <filter-mapping>
  <filter-name>LoginFilter</filter-name>
  <url-pattern>/SelectBeer.do</url-pattern>
  </filter-mapping>

Согласно тому, что я прочитал: фильтры должны быть найденыдо запрос достигает определенного URL, так почему же сначала возникает ограничение безопасности?

Я знаю, что это имеет смысл с точки зрения безопасности (чтобы добраться до фильтра, который вы должны пройти аутентификацию), но я хотел бы знать,последовательность запускается по запросу.

Контейнер ищет сначала защищенные ресурсы, таким образом, он вызывает ограничение безопасности?

Но это будет противоречить следующему абзацу, цитируемому Head First Servlets and Jsp "

Помните, что в ДД, это о том, что происходитпосле запрос. Другими словами, клиент уже сделал запрос, когда Контейнер начинает смотреть на элементы, чтобы решить, как ответить. Данные запроса уже отправлены по проводам

или, может быть, запрос только вызывает оба: filter и security-ограничение, но ограничение безопасности предпочтительнее фильтра?