Il faut que tu fasses une redirection oui. Une redirection ce n'est pa compliquée, c'est un get sur une URL, cette URL étant dans le header Location. Si tu utilises la même instance de client (CloseableHttpClient) et de context (HttpClientContext ), les cookies de session devraient normalement être bien conservés (je dis ça au conditionnel parce que ça fait un bail que je n'ai pas manipuler ce genre de truc et je me base sur ma mémoire) et donc tu seras bien en session.
Tu sembles être en session oui, mais c'est quand même étrange. Le paramètre login_type devrait contenir la valeur en dur "password_only". Et le paramètre password ton mot de passe. Je pense que la servlet utilise plusieurs types d'authentification, qu'on choisit avec login_type.
Partager