nie wiem, czy ja ci rację! Przy mojej ograniczonej wiedzy uważam, że aby zaimplementować bezpieczeństwo, treść, która ma być zabezpieczona, deklarowana jest za pomocą jednego lub więcej elementów kolekcji zasobów internetowych. Każdy element kolekcji zasobów sieciowych zawiera opcjonalną serię elementów z wzorcem URL, a następnie opcjonalną serię elementów metody http. Wartość elementu wzorca adresu URL określa wzorzec adresu URL, pod którym adres URL żądania musi być zgodny, aby żądanie odpowiadało próbie uzyskania dostępu do zabezpieczonej treści. Wartość elementu metody http określa typ żądania HTTP do zezwolenia.
<security-constraint>
<web-resource-collection>
<web-resource-name>Secure Content</web-resource-name>
<url-pattern>/restricted/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>AuthorizedUser</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>
<!-- ... -->
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>The Restricted Zone</realm-name>
</login-config>
<!-- ... -->
<security-role>
<description>The role required to access restricted content </description>
<role-name>AuthorizedUser</role-name>
</security-role>
URL leżący pod ścieżką aplikacji sieciowej/ograniczonej wymaga roli AuthorizedUser.
Próbowałem tego podejścia i nie działało. Czy to jest ważne? – cherry
/ścieżka url-pattern> nie działa dla mnie, natomiast/ścieżka/* url-pattern> działa dla wszystkich plików umieszczonych w katalogu/path. Również /ścieżka/mojafile.xhtml url-pattern> działa dla pojedynczego pliku, ale /ścieżka/*. Xhtml url-pattern> nie działa –