Tengo exactamente el mismo problema que describes. A excepción del issue con el isNew(), hemos implementado los ajustes que mencionas.

El problema con nosotros es que el j_security_check se implementó en una clase que está en un EAR, llamese PEPE.ear, y creamos una nueva aplicación web, llamada portal.war, que se desea se acceda a un jsp protegido. La pagina de login de portal.war apunta al j_security_check. La situación que nos tiene de cabeza, es que al ingresar en PEPE.ear y logearnos, si nos logeamos en el portal.war, aparece el error 403, y si hacemos click en el botón de atrás, vemos que sí se carga el jsp protegido.

No se si es que al logearnos primero por el PEPE.ear se setea algo o se pierde el contexto. No tenemos la menor idea.

Gracias de antemano por la ayuda que puedas ofrecer.

Me encanta como está quedando tu blog, está muy bien!

Muchos besos