В настоящее время Appfuse2 использует Spring Security 3 в качестве основы безопасности. Так что действие формы j_security-check обрабатывается Spring Security 3 и не имеет никакого отношения к Struts.
Идея состоит в том, что в web.xml вы обнаружите, что файл конфигурации Spring Security 3 (/WEB-INF/security.xml), который настраивает поведение безопасности веб-приложения, будет загружен и обработан во время запуска веб-приложения. Он настроен на использование DaoAuthenticationProvider для аутентификации.
Spring security перехватит действие формы j_security-check и вызовет DaoAuthenticationProvider для обработки запроса на вход. DaoAuthenticationProvider в свою очередь вызывает его UserDetailsService, который реализован разработчиками, для поиска пароля для пользователя входа в систему, а затем просто сравнивает, совпадает ли полученный пароль с введенным паролем.
Предлагаю вам проверить Spring Security 3 .