具有连字符/短划线的安全角色名称

时间:2013-07-08 17:08:09

标签: java security java-ee

我刚在遗留应用程序中发现了一些奇怪的东西。在名称中使用连字符定义了安全角色:

App-users
App-administrators
App-superUsers

我正在做一些测试,以确保用户根据他们的角色看到正确的数据,但在代码中我看到request.isUserInRole()调用没有传递完整的角色名称,而是传递后的文本连字符:

request.isUserInRole("superUsers");

我预计检查角色的调用将返回false,但它们返回true。有谁知道为什么会这样?

1 个答案:

答案 0 :(得分:1)

我找到了自己的答案。显然,有一些security-role-ref条目用于为实际角色创建短名称。