首先得明确：

正如IBM红皮书《WebSphere Application Server on z/OS and Security Integration》第57页明确说明，J2EE规范本身确实不允许直接处理密码过期与修改操作。

针对你问的是否存在可检测过期密码并允许在其他页面修改的登录套件，答案是肯定的：

• 很多基于WebSphere z/OS环境的企业会通过自定义JAAS登录模块或者扩展WebSphere的安全回调处理器（com.ibm.websphere.security.auth.callback.WSCallbackHandler）来实现这个需求。这类自定义组件可以在登录过程中检测到密码过期状态，然后中断默认登录流程，重定向到自定义的密码修改页面，完成修改后再重新走正常登录流程。
• 还有一些针对z/OS生态的企业级安全套件也内置了这个功能，但需要结合你的CICS和WebSphere环境进行适配配置。

再说说你遇到的com.ibm.390套件CICS授权失败问题：
你的推测大概率是正确的——当密码过期时，初始登录请求的调用者还未完成完整的身份授权，此时调用com.ibm.390相关的CICS交互API，就会触发权限校验失败。这里给你几个可行的排查和解决方向：

• 调整JAAS登录模块的执行顺序：确保在调用com.ibm.390的API之前，先完成基础的身份验证（即使密码过期，也要先通过身份校验获取到一个受限的身份上下文），再触发密码过期检测和修改逻辑。
• 配置CICS临时权限：在CICS端为密码过期状态的用户配置一个临时权限集，允许他们访问密码修改所需的特定CICS资源（比如对应的事务、程序或数据集），等用户完成密码修改后，再恢复正常的权限校验规则。
• 捕获异常并跳转：在登录回调逻辑中主动捕获密码过期对应的异常（比如特定的返回码或IBM专属异常类型），直接跳转到密码修改页面，避免在未授权状态下调用com.ibm.390的高权限操作。

内容的提问来源于stack exchange，提问作者bigbadmouse