问
<authorization>
<deny users = "?"/>
<allow users= "*" />
</authorization>
如果以上面的效果显示,那么用户访问站点下的其他页,如果没有登录的话,都会转到登录页。
但是要是把<allow users= "*" />放到<deny users = "?"/>前面,在没有登录的情况下,可以随意访问其他页面,没有限制。这是什么工作机制?对顺序也有要求吗?
答
有
运行时,授权模块从最本地的配置文件开始,循环访问 allow 和 deny 元素,直到它找到适合特定用户帐户的第一个访问规则。然后,该授权模块根据找到的第一个访问规则是 allow 还是 deny 规则来允许或拒绝对 URL 资源的访问。默认的授权规则为 <allow users="*"/>。因此,默认情况下允许访问,除非另外配置。
所以应该把适用用户群最小的放在最前面
转自:http://hi.baidu.com/monopo123/blog/item/680103a887142afa1e17a21b.html
