Caros, estou tentando configurar o spring security em uma app para restringir o acesso a determinadas urls.
<sec:http auto-config="true" access-denied-page="/acesso_negado.jsf">
<sec:form-login login-page="/login.jsf" authentication-failure-url="/login.jsf?erro=true"/>
<sec:intercept-url pattern="/pages/**" access="ROLE_ADMIN"/>
<sec:intercept-url pattern="/index.jsf" access="ROLE_USER,ROLE_ADMIN"/>
</sec:http>
tenho dois usuários: admin (com ROLE_ADMIN e ROLE_USER) e limitado (apenas com ROLE_USER)
ao tentar acessar qualquer página dentro de "pages" com o usuário limitado, não ocorre nenhum restrição. O acesso é liberado normalmente.
Acredito que o fato de estar utilizando facelets não tenha relação com o problema. alguma sugestão de como resolver?
--
Savio Freitas
Desenvolvedor Web
----------------------------------------------