1

我在 Apache tomcat 6 上部署的 web 应用程序中有两个不同的安全约束。tomcat 正在为我的网站处理不同的身份验证方案。

我的问题: 例如 page1 只能由 user1 访问,而 page2 只能由 user2 访问。这工作正常。

问题是,如果 user1 已登录,并且他访问 page2(user1 无法访问),则会向他显示拒绝访问错误,而不是允许他以其他用户身份登录。如果登录的用户是

4

1 回答 1

2

这种行为是 servlet 规范强制要求的。正如@Rob 所建议的那样,您应该为您的用户提供一些处理“未经授权”情况的选项:例如,注销并尝试再次访问资源(这将要求新的凭据)。

于 2012-05-29T21:02:45.610 回答