Estou tentando utilizar o springsecurity com jsf e qdo eu faço o login eu consigo acessar uma página em um diretório definido para outra role diferente(role_admin) do usuário logado(role_manager) e qdo faço logout também consigo acessar a página protegida. A página após fazer o login esta em /um.xhtml que tem um botao para acesso a página protegida /modules/login/secure.xhtml.
Como não sou muito familiar com jsf nãosei se é normal ao vc navegar pelas telas não aparecer o endereço correto na url. Por exemplo, qdo estou em /um.xhml e clico no botao para ir para a pagina protegida, a url nao muda: http://localhost:8080/SGP_3/um.xhtml, ao invés de ser http://localhost:8080/SGP_3/modulos/login/secure.xhtml. Estou achando que é por isso que nao esta protegendo as paginas
//faces-config.xml
<navigation-rule>
<from-view-id>/um.xhtml</from-view-id>
<navigation-case >
<from-outcome >success</from-outcome>
<to-view-id>/modulos/login/secure.xhtml</to-view-id>
</navigation-case>
</navigation-rule>
//springsecurity.xml
<http auto-config="true" access-denied-page="/accessDenied.xhtml">
<intercept-url pattern="/modulos/login/**" access="ROLE_ADMIN" />
<form-login login-page="/login.xhtml"
login-processing-url="/j_spring_security_check"
default-target-url="/um.xhtml"
authentication-failure-url="/fail.xhtml" />
<logout logout-success-url="/logout.xhtml" />
</http>
Tenho as mesmas configurações do spring para um projeto para jsp e funciona, apesar de ser springsecurity2.5