Мне было интересно, будет ли безопасна следующая конфигурация:
Веб-страницы, доступные в местоположениях /ManageXXXX.do
, /ManageYYYY.do
, ..., должны быть доступны только для роли admin
, все остальные страницы доступны всем.
Я настроил файл web.xml следующим образом:
<security-constraint>
<web-resource-collection>
<url-pattern>/Manage*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
Теперь мне было интересно, насколько это надежно для людей, пытающихся пройти через систему безопасности. Гарантированно ли это заблокирует мои Manage*
страницы от неавторизованных пользователей? Я просто хотел бы знать, насколько безопасно такое сопоставление с образцом.