大事なのはアプリケーションを認証で守ることです。
※前項では認証を行っただけ
日頃からJ2EEの認証JAAS使っといてよかった。
<security-constraint>
<web-resource-collection>
<url-pattern>/secure/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>*</role-name>
</auth-constraint>
</security-constraint>
とweb.xmlに記述すると
/secure/~というURLは認証を通らないといけなくなります。
JSPなどにこのURLに関係するリンクを貼り、押下してみると
認証されないと行けないことがわかります。
なお、role-nameで「*」を指定していますが
アプリケーションの設定で管理者になっている「admin」というロールと
世間一般のGoogleアカウントがあるようです。(こっちは不明)
0 件のコメント:
コメントを投稿