5、配置基础验证(Basic Authentication)
容器管理验证方法控制着当用户访问受保护的web应用资源时,如何进行用户的身份鉴别。当一个web应用使用了Basic Authentication(BASIC参数在web.xml文件中auto-method元素中设置),而有用户访问受保护的web应用时,Tomcat将通过HTTP Basic Authentication方式,弹出一个对话框,要求用户输入用户名和密码。在这种验证方法中,所有密码将被以64位的编码方式在网络上传输。
注意:使用Basic Authentication通过被认为是不安全的,因为它没有强健的加密方法,除非在客户端和服务器端都使用HTTPS或者其他密码加密码方式(比如,在一个虚拟私人网络中)。若没有额外的加密方法,网络管理员将能够截获(或滥用)用户的密码。
但是,如果你是刚开始使用Tomcat,或者你想在你的web应用中测试一下基于容器的安全管理,Basic Authentication还是非常易于设置和使用的。只需要添加<security-constraint>和<login-config>两个元素到你的web应用的web.xml文件中,并且在CATALINA_BASE/conf/tomcat-users.xml文件中添加适当的<role>和<user>即可,然后重新启动Tomcat。
下面例子中的web.xml摘自一个俱乐部会员网站系统,该系统中只有member目录被保护起来,并使用Basic Authentication进行身份验证。请注意,这种方式将有效的代替Apache web服务器中的.htaccess文件。
<!--
Define the
Members-only area,
by defining
a "Security Constraint"
on this Application, and
mapping it to the
subdirectory (URL) that we want
to restrict.
-->
<security-constraint>
<web-resource-collection>
<web-resource-name>
Entire Application
</web-resource-name>
<url-pattern>/members/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>member</role-name>
</auth-constraint>
</security-constraint>
<!-- Define the Login
Configuration for
this Application -->
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>My Club
Members-only Area</realm-name>
</login-config>
| 首页 → 服务器应用 |
Nginx+PHP+MySQL双机![Ubuntu终端服务客户端远程连接Windows Server 2003桌面[图文]](../../upload/2008_11/08112406516032t.jpg)
Ubuntu终端服务客户端![LAMP架构:配置Linux Apache Web服务器[图文]](../../upload/2008_11/081123184064951t.jpg)
LAMP架构:配置Linux ![Ubuntu 8.10 局域网网络配置记[图文]](../../upload/2008_11/08111710431153t.jpg)
Ubuntu 8.10 局域网网![Darkhttpd:Linux 下迷你静态http服务器[图文]](../../upload/2008_11/08111008465697t.jpg)
Darkhttpd:Linux 下![用Ubuntu做WEB服务器相关设置[多图]](../../upload/2008_10/08103005046122t.jpg)
用Ubuntu做WEB服务器![asterisk安装实录之CentOS 5.2安装[多图]](../../upload/2008_10/081020071615331t.jpg)
asterisk安装实录之Ce![让XManager也支持中文Solaris系统[图文]](../../upload/2008_10/081004071585281t.jpg)
让XManager也支持中文