JavaEE web.xml - intepreting角色名標記

Question

我想問（或者更好的詞是確認）如何將多個角色名稱放入auth-constraint標記給定角色被處理。如果要訪問應用程序，您只能從給定集合中只有一個角色（在測試之後以這種方式工作）或用戶必須具有所有特定角色？ 下面的示例中，我想知道角色「A 或 B」是否需要或「A 和 B」？

我找不到關於它的官方說明。有誰知道我在哪裏可以確認運營商beetwen角色名稱標籤是OR嗎？我不想僅基於我的測試和結果。

我的例子是：

<security-constraint> 
... 
<auth-constraint> 
    <description>Desc</description> 
    <role-name>A</role-name> 
    <role-name>B</role-name> 
</auth-constraint> 
</security-constraint> 

Answer 1

回答你的問題是「OR」。換句話說，您在元素auth-constraint中列出了保護您的web-resource-collection的角色列表。如果在身份驗證之後，委託人具有其中一個角色，他/她將能夠訪問資源集合。 在你的情況下，它是角色A或角色B