我在我的struts2應用程序上運用spring security我可以使用攔截器url來提供對主要url的訪問,但不提供對其子集的訪問。基於角色的身份驗證不起作用
比如我需要給訪問客戶角色的用戶只能查看書籍,所以我用 以下
<http auto-config="true" access-denied-page="/not.jsp" use-expressions="true">
....
<intercept-url pattern="/Books/view*" access="hasRole('ROLE_CUSTOMER')"/>
所以我認爲用戶應該能夠訪問到本地主機:8888 /書籍/view.action但他們不這樣做,並重定向他們not.jsp頁面(拒絕訪問頁)
我已經嘗試了所有以下,但既不工作
<intercept-url pattern="/Books/view.action" access="hasRole('ROLE_CUSTOMER')"/>
<intercept-url pattern="/Books/view**" access="hasRole('ROLE_CUSTOMER')"/>
<intercept-url pattern="/Books/view.action*" access="hasRole('ROLE_CUSTOMER')"/>
唯一有效的是下面的一個,它允許訪問我不想要的所有操作(編輯,刪除和查看)。
<intercept-url pattern="/Books/*" access="hasRole('ROLE_CUSTOMER')" />