我正在尝试向后设置安全约束。我想说除了我指定的页面外,所有页面都需要登录。我用:
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>*</role-name>
</auth-constraint>
</security-constraint>
但我无法弄清楚如何说index.jsp不需要登录。
答案 0 :(得分:2)
简单的答案是你无法使用web.xml实现这一点(可以说是一件好事,因为安全机制最好保持尽可能简单)。正如@Johan所说,保护一些网址格式,例如/secure/*
或/app/*
并将所有网页放在那里。
答案 1 :(得分:0)
将所有安全页面/secure
放置并将安全过滤器配置为/secure/*
,或在过滤配置中创建排除项。以下示例基于spring-security:
<http auto-config='true'>
<intercept-url pattern="/index.jsp*" filters="none"/>
</http>