我在Apache tomcat 6上部署的Web应用程序中有两个不同的安全约束。而tomcat正在为我的网站处理不同的身份验证方案。
我的问题: 例如。 page1只能由user1访问,page2只能由user2访问。这很好。
问题是如果user1已登录,并且他访问了page2(user1无法访问),则会向他显示访问被拒绝错误,而不是允许他以不同用户身份登录。如果登录用户
,则应显示身份验证质询答案 0 :(得分:2)
这种行为是由servlet规范强制执行的。正如@Rob所建议的,您应该向用户提供一些处理“未授权”条件的选项:例如,注销并尝试再次访问资源(这将要求新的凭据)。