普通のフォームでaction="j_security_check"するやり方だと、認証失敗時にURLがj_security_checkになってしまう。
これはブラウザのパスワード保存と組み合わさると非常に具合が悪いのだけど、使い方がおかしいのかな。

1.http://example.com/member/を表示
認証ページが出る
2.パスワードを入力（ブラウザにパスワードを覚えさせる）
認証に失敗するとURLがhttp://example.com/member/j_security_checkになる
3.パスワードを入力（ブラウザにパスワードを覚えさせる）
認証に成功してhttp://example.com/member/に飛ぶ

これで、http://example.com/member/用のID/PWと、http://example.com/member/j_security_check用のID/PWの2組が記録されてしまいます。

フォームの代わりにJavaScriptでPOSTしちゃうとか？
とりあえず調査中・・・。