# FORM Auth in JBoss für User mit falscher Rolle ?



## forfaro (26. Feb 2008)

Hallo zusammen,
ich habe ein FORM basiertes Auth in JBoss, dieses läuft auch an sich gut, wenn man falsche Logindaten eingibt, kommt man auf eine error.html Seite, wenn man richtige Logindaten eingibt und die gewünschte Rolle hat, ist auch alles super und man kommt auf die gewünschte Seite. Nur wenn man mit richtigen Logindaten, aber der falschen Rolle einloggt, springt man nicht, wie ich es erwartet hätte, auch auf die error.html Seite, sondern man bekommt so eine System Error Seite mit Nachricht "Access to the requested resource has been denied".

Ich benutze die normale FORM Variante würde ich sagen mit 


```
<login-config>
   <auth-method>FORM</auth-method>
   <form-login-config>
      <form-login-page>/login.html</form-login-page>
      <form-error-page>/error.html</form-error-page>
   </form-login-config>
</login-config>
```

Muss ich da für den beschriebenen Fall noch eine Seite haben oder weiss jemand, woran das liegen könnte ? Der Rest funktioniert ja prima.
Ach ich benutze JBoss 4.0.4GA.

Grüß
vom Sascha


----------



## ms (27. Feb 2008)

Ich nehme an du bekommst einen 403er.
Du kannst in der web.xml für jeden Fehler eine eigene error-page definieren.


```
<error-page>
	<error-code>403</error-code>
	<location>/403.jsp</location>
</error-page>
```

Andererseits frage ich mich wie es dazu kommen kann, dass sich jemand mit den richtigen Logindaten zwar anmelden kann aber dann doch keine Berechtigung für irgendetwas hat. Das ist etwas unlogisch.

ms


----------



## forfaro (27. Feb 2008)

Wunderbar danke, MS, hat wunderbar geklappt 

Und über den Sinn kann wohl wirklich streiten, aber is ein Projekt wo die Startseite ungefähr so aussieht

Admin-Bereich:

- Link 1 
- Link 2
- Link 3

User-Bereich:

- Link 1 
- Link 2
- Link 3

Service-Bereich:

- Link 1 
- Link 2
- Link 3

Dazu gibts dann 3 Rollen admin, user und service und jeder Benutzer, egal welche Rolle, kann alle Links sehen und klicken. Klickst du dann Link kommt Login und je nach Rolle und Bereich darfst du dann halt rein oder auch nich. Hätt auch lieber ein Login vorgeschaltet, wo ich dem Benutzer nur zeige, was er sehen darf, aber Kundens Wege sind unergründlich


----------

