先是几个关键词
用户,角色,授权,login,Authorization,realm , constraint,认证方法。
一个用户可以拥有多个角色, 访问servlet 需要用户拥有相应的角色授权。
认证方法有多种, 今天的调试以Basic认证为例
Basic 认证简单理解就是 服务器端设置WWW-Authenticate,然后浏览器端将用户名和密码以
username:password 的形式放到Header头里面。
tomcat支持认证的方法很多,建议初期能使用自带的权限管理就使用自带的权限管理,比自己造轮子靠谱。
定义角色和用户,这里直接定义在tomcat-user.xml 里面。
tomcat 支持将用户和角色定义到数据库里面。
认证过程:
认证失败时在Header 头里面设置 WWW-Authenticate
浏览器弹出身份验证
BasicAuthenticator 进行验证用户名和密码的细节
关于 username:password , apache,nginx,svn 都提供类似的用户名和密码管理机制,通过配置,运维人员就可以通过登录来管理软件。
tomcat 自带的管理界面