我想问一下(或者更好的话就是确认)如何将多个角色名称放入auth-constraint标签中后给定的角色被处理。如果要访问应用程序,您只需要给定集合中的一个角色(在测试之后它是这样工作的)或者用户必须拥有所有特定角色? 在下面的示例中,我想知道是否需要“A 或 B”角色或“A 和 B”?
我找不到关于它的官方说明。有谁知道我在哪里可以确认运营商beetwen角色名称标签是OR?我不希望仅基于我的测试和结果。
我的例子是:
<security-constraint>
...
<auth-constraint>
<description>Desc</description>
<role-name>A</role-name>
<role-name>B</role-name>
</auth-constraint>
</security-constraint>
答案 0 :(得分:0)
您的问题的答案是“或”。换句话说,您在元素auth-constraint中列出了保护web-resource-collection的角色列表。如果在身份验证之后,主体具有此角色之一,则他/她将能够访问资源集合。
在您的情况下,它是角色A或角色B