Url-pattern no tomcat

Tenho uma aplicação cuja autenticação é feita pelo contexto. A princípio, todas as páginas *.jsp e *,jsf estavam protegidas; todos os arquivos (jsp, imagens, css) estavam dentro da pasta 'pages', dentro de WEB-INF.

Precisei de uma página pública. Pensei com meus botões... 'hum, /pages/*.jsf  deve dar conta'. E quem disse que pode, né? Uma hora para entender o porque. Só pode OU definir a pasta OU definir a extensão, nunca os dois juntos

http://stackoverflow.com/questions/2714726/web-xml-are-url-pattern-tags-relative-to-each-other

In the Web application deployment descriptor, the following syntax is used to define mappings:

• A string beginning with a ‘/’ character and ending with a ‘/*’ suffix is used for path mapping.

• A string beginning with a ‘*.’ prefix is used as an extension mapping.

• A string containing only the ’/’ character indicates the "default" servlet of the application. In this case the servlet path is the request URI minus the context path and the path info is null.

• All other strings are used for exact matches only

Acreditem, eu xinguei muito. No fim, tive que proteger /pages/cada_pasta e cada um dos JSPs que estava dentro de pages direto. Empenho