security-constraint我可以通过在 web.xml 中定义(除其他外)来限制对 Web 应用程序的访问。每个安全约束包括 1)<web-resource-collection>包含一组受限资源,以及 2)<auth-constraint>包含一组授权用户(安全角色),这些用户可以访问此约束中定义的 web-resource-collection。
所以我认为我可以在每个约束中执行 a)定义单个资源(地址)和一组授权用户或 b)定义一组资源(地址)和单个授权用户。
我对吗?我的方法应该是什么。
例如,我定义了这样的约束:
<security-constraint>
<display-name>ConstraintAdminUser</display-name>
<web-resource-collection>
<web-resource-name>adminResources</web-resource-name>
<url-pattern>/protected/admin/*</url-pattern>
<url-pattern>/protected/main/*</url-pattern>
<url-pattern>/protected/user/*</url-pattern>
<url-pattern>/protected/lang/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>AdminUserRole</role-name>
</auth-constraint>
</security-constraint>
<security-constraint>
<display-name>ConstraintUserOnly</display-name>
<web-resource-collection>
<web-resource-name>userResources</web-resource-name>
<url-pattern>/protected/main/*</url-pattern>
<url-pattern>/protected/user/*</url-pattern>
<url-pattern>/protected/lang/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>UserOnlyRole</role-name>
</auth-constraint>
</security-constraint>
但我不知道这是否是一种“正确的方式”:)