TOMCAT的安全域(一)

安全域是Tomcat的内置功能，在org.apache.catalina.Realm接口中申明了一组用户名、口令及所有关联角色

内存域 MemoryRealm

JDBC域 JDBCRealm

数据源域 DataSourceRealm

JNDI域 JNDIRealm

在conf/server.xml中配置

在你的应用的<Context......>下面

<Realm className="org.apache.catalina.realm.MemoryRealm" />

从一个XML文件中读取用户信息，默认的就是tomcat-users.xml

tomcat-users.xml中的角色定义

<?xml version='1.0' encoding='utf-8'?>

<tomcat-users>

<role rolename="tomcat"/>

<role rolename="role1"/>

<role rolename="guest"/>

<user username="lee" password="lee" roles="guest"/>

<!--对应的用户密码属于的角色-->

<user username="suoxin" password="suoxin" roles="tomcat,role1"/>

</tomcat-users>

在你的应用下的web.xml中加入<security-constraint>元素

<security-constraint>

<display-name>HelloApp Configuration Security Constraint</display-name>

<web-resource-collection>

<web-resource-name>Protected Area</web-resource-name>

<!--

指明该目录吓得所有文件受保护

或者<url-pattern>*.jsp</url-pattern>

-->

<url-pattern>/* </url-pattern>

</web-resource-collection>

<auth-constraint>

<!-- 允许属于guest和admin角色的用户登陆 -->

<role-name>admin</role-name>

<role-name>guest</role-name>

</auth-constraint>

</security-constraint>

在你的应用下的web.xml中加入<login-config>元素

<login-config>

<auth-method>FORM</auth-method>

<!--

这里FORM是基于表单的验证，会跳转到你的login.jsp，如果出错就到myerror.jsp，还有基于对话筐的

是BASIC关键字，但是不安全在网络传输中。摘要验证DIGEST会采用MD5（Message Digest Algorithm）加密传输

-->

<realm-name>HelloApp realm</realm-name>

<form-login-config>

<form-login-page>/mylogin.jsp</form-login-page>

<form-error-page>/myerror.jsp</form-error-page>

</form-login-config>

</login-config>

mylogin.jsp的action和name必须严格规范写

<form name="form1" id="form1" method="post" action="j_security_check">

<input type="text" name="j_username"/>

<input type="text" name="j_password"/>

<input type="submit" name="Submit" value="提交" />

</form>

JDBC和DataSource域待....