在tomcat中使用Realm

1、配置JDBC Realm，
在tomcat的server.xml文件中，配置自己的JDBC Realm，tomcat 提供了六种Realm实现，这里使用JDBC Realm 演示。

 <Realm  className="org.apache.catalina.realm.JDBCRealm"
             driverName="org.gjt.mm.mysql.Driver"
          connectionURL="jdbc:mysql://localhost/std"
         connectionName="root" connectionPassword="root"
              userTable="users" userNameCol="user_name" userCredCol="user_pass"
          userRoleTable="user_roles" roleNameCol="user_role" />

 
Realm标签可以放在Engine标签中，这是该Realm会被所有应用共享。 放在Host中，会被该Host下的应用程序共享。放在Context中，则只有对应的应用程序能被访问。

引用

className ：tomcat 的JDBCRealm实现类，
driverName: JDBC Driver （JDBC Driver jar 需要放在Tomcat's common/lib 目录下）
connectionURL： 数据库连接地址，表名为std
connectionName：数据库登录用户
connectionPassword：数据库登录密码
userTable： 用户表的表名
userNameCol：用户表中用户列的列名
userCredCol：用户表中密码列的列名
userRoleTable：角色表的表名
roleNameCol： 角色表中的角色列

对于上面配置的Realm，对应的数据库表如下：

	CREATE TABLE `users` (
	`user_name` varchar(20) NOT NULL,
	`user_pass` varchar(20) DEFAULT NULL
	) ENGINE=InnoDB DEFAULT CHARSET=utf8;

	CREATE TABLE `user_roles` (
	`user_name` varchar(20) NOT NULL,
	`user_role` varchar(20) NOT NULL,
	PRIMARY KEY (`user_name`,`user_role`)
	) ENGINE=InnoDB DEFAULT CHARSET=utf8;

2、配置认证资源
配置角色，在web.xml中，使用security-role标签来定义角色，如下所示

	<security-role>
		<role-name>ADMIN</role-name>
	</security-role>
	<security-role>
		<role-name>USER</role-name>
	</security-role>

配置资源约束，在web.xml中，使用security-constraint标签定义，如下所示，指定了对资源/admin/* 的访问需要认证，只有角色是ADMIN的用户才能访问

	
	<security-constraint>
		<web-resource-collection>
			<web-resource-name>adminDir</web-resource-name>
			<url-pattern>/admin/*</url-pattern>
			<http-method>GET</http-method>
			<http-method>POST</http-method>
		</web-resource-collection>
		<auth-constraint>
			<role-name>ADMIN</role-name>
		</auth-constraint>
	</security-constraint>

配置认证方式 ，在web.xml中使用login-config标签配置认证方式。如下所示，当访问需要认证的资源时，servlet会检查对应的请求是否需要认证，如果不需要，则允许访问，如果没有认证通过，则会转到/admin/login.jsp页面定义的认证入口，填写认证信息。
当认证失败时，会转到/admin/error.jsp页面中。

	
	<login-config>
		<auth-method>FORM</auth-method>
		<form-login-config>
			<form-login-page>/admin/login.jsp</form-login-page>
			<form-error-page>/admin/error.jsp</form-error-page>
		</form-login-config>
	</login-config>

对于auth-method，可以指定认证的方式为，BASIC、DIGEST、CLIENT-CERT、FORM 。其中FORM允许自定义登录界面，对于FORM自定义的登录表单，action、用户名、密码都要用统一的名字：

	<form action="j_security_check" method="post">
		<table>
			<tr><td>user :</td><td><input name="j_username" type="text"></td></tr>
			<tr><td>pass :</td><td><input name="j_password" type="password"></td></tr>
			<tr><td><input type="submit"/></td></tr>
		</table>
	</form>

通过以上的配置，Request中也就保存了用户的认证信息了，在系统的其他地方，可以通过Request.isUserInRole方法，判断用户的角色。。。。