【发布时间】:2016-03-31 14:28:54
【问题描述】:
我有两个角色。
一个是admin 角色,可以查看所有页面。
<security-constraint>
<web-resource-collection>
<web-resource-name>Admin Pages</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
其他是it 角色,可以查看 IT 页面。
<security-constraint>
<web-resource-collection>
<web-resource-name>IT Pages</web-resource-name>
<url-pattern>/it/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>it</role-name>
</auth-constraint>
</security-constraint>
这里我有一个admin 和it 必须访问的页面,但前提是用户同时拥有两个角色admin 和it 而不仅仅是其中一个。
<security-constraint>
<web-resource-collection>
<web-resource-name>Admin and it Pages</web-resource-name>
<url-pattern>/other/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
<role-name>it</role-name>
</auth-constraint>
</security-constraint>
但之前<security-constraint>的实际行为是admin或it角色可以访问这个页面。
我如何才能应用该用户必须声明为 2 个角色 admin 和 it 才能访问此页面,而不仅仅是其中一个?
【问题讨论】:
标签: jakarta-ee web.xml roles security-constraint