И аз се чудех на това и накрая реших, че трябва да си имаш хардкоднати някакви username и password и да правиш валидация спрямо тях. Може да пазеш няколко двойки в HashMap например. Все едно ги вземаш от базата, но понеже още не работим с db трябва да го имитираме. Така го разбрах аз поне.

Тук вторият филтър припокрива работата на първия, при положение, че името и паролата съвпаднат с хардкорднатите, се изисква да впишем името в сесията, тогава първото условие на вторият филтър ще е изпълнено, но пък ако няма името и паролата, тогава ще е изпълнено второто условие на втория филтър или втората проверка, и няма смисъл да редиректваме към Логин формата, след като сме вече на нея и тя не ни е пуснала към основната страница! Задачата е малко объркваща, но може и да е от мен! :)

И аз мисля, че задачката е малко пообъркана - може би нарочно. :)

По-логично е: ако има username в сесията -> chain.dofilter();

ако няма -> проверяваме за credentials в request-а и опитваме логване;

т.е. наобратно - водещото е дали вече е authenticated, a не дали ни изпраща нови username & password.

Въобще когато нещо е извадено от контекста е трудно да се разбере веднага, затова и сега имаме малко извадена от контекста логика, която ако е част от по-обширна такава би била по-лесна за следване! :)