我刚在遗留应用程序中发现了一些奇怪的东西。在名称中使用连字符定义了安全角色:
App-users
App-administrators
App-superUsers
我正在做一些测试,以确保用户根据他们的角色看到正确的数据,但在代码中我看到request.isUserInRole()调用没有传递完整的角色名称,而是传递后的文本连字符:
request.isUserInRole("superUsers");
我预计检查角色的调用将返回false,但它们返回true。有谁知道为什么会这样?
答案 0 :(得分:1)
我找到了自己的答案。显然,有一些security-role-ref条目用于为实际角色创建短名称。