设置反向安全约束

Question

我试图设置安全约束反向。我想说的是，除了我指定的以外，所有页面都需要登录。我用：

<security-constraint> 
    <web-resource-collection> 
     <url-pattern>/*</url-pattern> 
    </web-resource-collection> 
    <auth-constraint> 
     <role-name>*</role-name> 
    </auth-constraint> 
</security-constraint> 

但我不知道该怎么说index.jsp不需要登录。

Answer 1

简单的答案是，你不能做到这一点使用web.xml文件（可以说是一件好事，因为安全机制最好保持尽可能简单）。正如@Johan所说，保护一些网址格式，例如/secure/*或/app/*，并将所有网页放在那里。

Answer 2

要么将​​所有安全页面/secure并将您的安全筛选器配置为/secure/*，要么在您的过滤配置中创建一个排除项。下面的示例是基于Spring的安全性：

<http auto-config='true'> 
    <intercept-url pattern="/index.jsp*" filters="none"/> 
</http>