【问题标题】:Declare security constraint on user with multiple roles inclusive声明对具有多个角色(包括在内)的用户的安全约束
【发布时间】:2016-03-31 14:28:54
【问题描述】:

我有两个角色。

一个是admin 角色,可以查看所有页面。

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Admin Pages</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>admin</role-name>
    </auth-constraint>
</security-constraint>

其他是it 角色,可以查看 IT 页面。

<security-constraint>
    <web-resource-collection>
        <web-resource-name>IT Pages</web-resource-name>
        <url-pattern>/it/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>it</role-name>
    </auth-constraint>
</security-constraint>

这里我有一个adminit 必须访问的页面,但前提是用户同时拥有两个角色adminit 而不仅仅是其中一个。

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Admin and it Pages</web-resource-name>
        <url-pattern>/other/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>admin</role-name>
        <role-name>it</role-name>
    </auth-constraint>
</security-constraint>

但之前&lt;security-constraint&gt;的实际行为是adminit角色可以访问这个页面。

我如何才能应用该用户必须声明为 2 个角色 admin it 才能访问此页面,而不仅仅是其中一个?

【问题讨论】:

    标签: jakarta-ee web.xml roles security-constraint


    【解决方案1】:

    这是不可能的。角色不是这样工作的。你似乎把角色的意义倒过来了。将角色视为权限可能更容易。

    只需创建一个新角色。

    【讨论】:

    • 我知道它只是创建了一个新角色,但我想看看这个东西是否可以应用于 web.xml
    猜你喜欢
    • 2015-11-13
    • 1970-01-01
    • 2014-07-23
    • 1970-01-01
    • 2010-11-08
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2011-06-19
    相关资源
    最近更新 更多