我可以通过在web.xml中定义(除其他事项)security-constraint来限制对Web应用程序的访问。每个安全约束由1)<web-resource-collection>组成,其中包含一组受限资源,以及2)<auth-constraint>,其中包含一组授权用户(安全角色),可以访问在此定义的Web资源集合这种约束。
所以我认为我可以在每个约束中执行a)定义单个资源(地址)和一组授权用户,或b)定义一组资源(地址)和一个授权用户。
我是对的吗?我的方法应该是什么。
我举例说明了这样的约束:
<security-constraint>
<display-name>ConstraintAdminUser</display-name>
<web-resource-collection>
<web-resource-name>adminResources</web-resource-name>
<url-pattern>/protected/admin/*</url-pattern>
<url-pattern>/protected/main/*</url-pattern>
<url-pattern>/protected/user/*</url-pattern>
<url-pattern>/protected/lang/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>AdminUserRole</role-name>
</auth-constraint>
</security-constraint>
<security-constraint>
<display-name>ConstraintUserOnly</display-name>
<web-resource-collection>
<web-resource-name>userResources</web-resource-name>
<url-pattern>/protected/main/*</url-pattern>
<url-pattern>/protected/user/*</url-pattern>
<url-pattern>/protected/lang/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>UserOnlyRole</role-name>
</auth-constraint>
</security-constraint>
但我不知道这是否是一种“正确的方法”:)