Tomcat从零开始(十六)-----tomcat安全
本章主要介绍的是tomcat,security的相关知识。推荐大家复习一下pipeline和401错误unauthenticated就是没通过认证的意思。
所以,到了这里会有很多人不理解为什么tomcat要有这个东西,这多麻烦,特别是我们看tomcat的 webapp列表的时候还要打密码。但是我们想一个问题,比如 我们的Webapp中有一个页面是直接list所有的用户名密码,那么别有用心的人直接输入这个url就能获取所有的用户信息。这样实在太可怕了。所以,我们要引入这种安全机制。下面来看tomcat与安全相关的类。
1. Realm
这个单词被翻译成域,但是我总感觉很别扭。我一直记得是英文,这个东西就是一个进行用户验证的东西。就是验证输入的用户名密码是否和tomcat-2. GenericPrincipal
Principal是3. LoginConfig
这个没什么说的,就是authentication必须是(BASIC,DIGEST,FORM,CLIENT-CERT)其中的一个。
4. Authenticator
这个是重点,也是本节课需要重点说说的地方。我们在BasicAuthenticator,自己添加一个安全约束
Bootstrap文件就可以。我们要添加以下代码
<?xml version='1.0' encoding='utf-8'?><tomcat-users> <role rolename="tomcat"/> <role rolename="programmer"/> <role rolename="manager"/> <role rolename="admin"/> <user username="tomcat" password="tomcat" roles="tomcat"/> <user username="victory" password="tomcat" roles="programmer"/> <user username="both" password="tomcat" roles="tomcat,programmer"/> <user username="admin" password="password" roles="admin,manager"/></tomcat-users>
