Ich habe eine Java-Webanwendung, die Sicherheitsbeschränkungen verwendet, um den Zugriff auf Ressourcen zu sperren. Ich versuche, die HTTP 401-Antwort zu manipulieren, wenn für Ajax-Anforderungen eine Authentifizierung erforderlich ist. Daher habe ich einen Filter erstellt, der den HTTP-Status in den Antworten beobachtet und ihn bei Bedarf entsprechend ändert.

Das Problem ist, dass der Filter erst aufgerufen wird, nachdem der 401 an den Browser gesendet wurde, wenn eine Authentifizierung erforderlich ist. Es scheint, dass die Sicherheitsbeschränkung dem Filter in der Anforderungsverarbeitungskette vorausgeht. Das URL-Muster meines Filters ist allgemeiner als alle Sicherheitsbeschränkungen. Plattform ist WebSphere.

Ich kann nicht erkennen, wo die Priorität von Sicherheitsbeschränkungen und Filtern in der Servlet 2.5-Spezifikation angegeben ist. Habe ich etwas verpasst