Ich habe 2 Rollen.Sicherheitsbeschränkung für Benutzer mit mehreren Rollen deklarieren, einschließlich
Eine ist admin
Rolle, die alle Seiten sehen kann.
<security-constraint>
<web-resource-collection>
<web-resource-name>Admin Pages</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
Andere ist it
Rolle, die IT-Seiten sehen kann.
<security-constraint>
<web-resource-collection>
<web-resource-name>IT Pages</web-resource-name>
<url-pattern>/it/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>it</role-name>
</auth-constraint>
</security-constraint>
Hier habe ich eine Seite, dass admin
und it
müssen Zugang, aber nur für den Fall der Benutzer beide Rollen admin
und it
und nicht nur einer von ihnen.
<security-constraint>
<web-resource-collection>
<web-resource-name>Admin and it Pages</web-resource-name>
<url-pattern>/other/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
<role-name>it</role-name>
</auth-constraint>
</security-constraint>
Aber das tatsächliche Verhalten der früheren <security-constraint>
ist, dass admin
oderit
Rolle auf diese Seite zugreifen können.
Wie kann ich, dass Benutzer anwenden erreichen zu müssen admin
undit
, um die 2 Rollen deklariert werden auf diese Seite zuzugreifen und nicht nur einer von ihnen?
Ich weiß, dass es nur eine neue Rolle erstellen, aber ich versuche zu sehen, ob diese Sache in web.xml angewendet werden kann –