次の構成が安全かどうか疑問に思っていました。
/ManageXXXX.do
、 、 ...の場所でアクセス可能な Webページは、役割/ManageYYYY.do
によってのみアクセスできるようにする必要がadmin
あります。他のすべてのページは誰でも利用できます。
web.xml ファイルを次のように構成しました。
<security-constraint>
<web-resource-collection>
<url-pattern>/Manage*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
セキュリティを通過しようとしている人々にとって、これがどれほど信頼できるものなのか疑問に思っていました. Manage*
これにより、許可されていないユーザーからページがブロックされることが保証されますか? この種のパターン マッチングがどれほど安全かを知りたいだけです。