0

我想问(或者也许更好的词是确认)在将多个角色名称放入 auth-constraint 标记后如何处理给定的角色。如果要访问应用程序,您只需要给定集合中的一个角色(在测试后以这种方式工作)或者用户必须具有所有指定的角色?在下面的示例中,我想知道是否需要角色“AB”或“AB”?

我找不到关于它的官方说明。有谁知道我在哪里可以确认操作员 beetwen 角色名称标签是 OR?我不想只基于我的测试和结果。

我的例子是:

<security-constraint>
...
<auth-constraint>
    <description>Desc</description>
    <role-name>A</role-name>
    <role-name>B</role-name>
</auth-constraint>
</security-constraint>
4

1 回答 1

1

您的问题的答案是“或”。换句话说,您在元素auth-constraint中列出了保护您的web-resource-collection. 如果经过身份验证,主体具有此角色之一,他/她将能够访问资源集合。在您的情况下,它是角色 A 或角色 B

于 2013-04-05T05:53:58.520 回答