即使用户帐户被 LDAP 锁定，JSF 用户仍能成功登录

我使用部署在 Liberty 22.0.0.6 服务器上的 JSF 2。

我基于 FORM 的身份验证是针对 LDAP 使用 j_security_check。它正在工作，我的用户可以登录/验证并取回 LTPA2 令牌。注销功能也能正常工作。

但是，我注意到以下几点

1. 用户登录成功
2. 用户注销并被送回登录页面 - 正如预期的那样
3. 如果用户尝试使用不正确的密码登录，她将被要求返回登录页面并提供正确的凭据 - 正如预期的那样
4. 重复步骤 3
5. 重复步骤 3。在第 3 次无效尝试时，LDAP 锁定用户帐户 30 分钟
6. 用户尝试在 LDAP 解锁帐户之前再次登录，这次使用正确的凭据，并成功 - 这不应该发生

我希望在第 6 步中，即使用户提供了正确的凭据，也不应允许用户登录，因为 LDAP 在第 5 步中已将帐户锁定 30 分钟。

作为 Liberty 服务器和 JSF 的新手，我很难理解这一点。 LTPA 令牌是否在某处兑现以及如何找到它？

根据我的阅读，我认为缓存发生在 Liberty 服务器中，而不是在 JSF 应用程序中。