當前正在使用:JBoss 6(在GlassFish 3.1上開發),JSF 2.0,使用JAAS進行基於表單的身份驗證(無需「公共」頁面,所有內容都需要身份驗證)。取決於用戶角色的JSF 2頁訪問
Web應用程序提供了兩種不同的搜索頁面(如search1.jsf
和search2.jsf
),從index.jsf
訪問,但它不屬於額外的權利的特別角色的用戶,必須search2.jsf無法訪問。
保護search2.jsf的「標準」方式是web.xml
中的配置,該配置需要此頁面的特殊用戶角色。是否有其他方法可以動態保護第二個搜索頁面,既可以基於角色,也可以基於特定於用戶的屬性(不會引入其他身份驗證框架或特定於容器的功能)?
禁用index.jsf中指向search2.jsf的鏈接很簡單,但用戶可以在瀏覽器中輸入第二個搜索頁面的URL以查看它(因此對於原型,我將調整web.xml)。