我正在为我的网络应用程序实现基于表单的身份验证。
我在TomEE服务器上的JDBCrealm中创建了一些用户,并且只允许特定用户访问受保护的jsf页面。
现在身份验证工作正常,如果用户名密码不匹配,则会重定向到错误页面。
我面临的问题是,如果我尝试使用已经在JDBCrealm中可用的用户登录,而该用户无权访问受保护的页面,我将收到403错误。
当我回来再次尝试访问受保护的页面时,我无法再次登录。是因为有关我的登录信息会在会话中被记住而我必须使会话无效吗?
即使我没有登录?
修改
我在论坛上问:http://openejb.979440.n4.nabble.com/Bug-in-security-TomEE-td4665009.html
我觉得这是我问题的最佳答案