在tomcat中使用Realm

sele

1、配置JDBC Realm，
在tomcat的server.xml文件中，配置自己的JDBC Realm，tomcat 提供了六种Realm实现，这里使用JDBC Realm 演示。

<Realm  className="org.apache.catalina.realm.JDBCRealm"
driverName="org.gjt.mm.mysql.Driver"
connectionURL="jdbc:mysql://localhost/std"
connectionName="root" connectionPassword="root"
userTable="users" userNameCol="user_name" userCredCol="user_pass"
userRoleTable="user_roles" roleNameCol="user_role" />


Realm标签可以放在Engine标签中，这是该Realm会被所有应用共享。 放在Host中，会被该Host下的应用程序共享。放在Context中，则只有对应的应用程序能被访问。
引用

className ：tomcat 的JDBCRealm实现类，
driverName: JDBC Driver （JDBC Driver jar 需要放在Tomcat's common/lib 目录下）
connectionURL： 数据库连接地址，表名为std
connectionName：数据库登录用户
connectionPassword：数据库登录密码
userTable： 用户表的表名
userNameCol：用户表中用户列的列名
userCredCol：用户表中密码列的列名
userRoleTable：角色表的表名
roleNameCol： 角色表中的角色列


对于上面配置的Realm，对应的数据库表如下：

CREATE TABLE `users` (
`user_name` varchar(20) NOT NULL,
`user_pass` varchar(20) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
CREATE TABLE `user_roles` (
`user_name` varchar(20) NOT NULL,
`user_role` varchar(20) NOT NULL,
PRIMARY KEY (`user_name`,`user_role`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

2、配置认证资源
配置角色，在web.xml中，使用security-role标签来定义角色，如下所示

<security-role>
<role-name>ADMIN</role-name>
</security-role>
<security-role>
<role-name>USER</role-name>
</security-role>

配置资源约束，在web.xml中，使用security-constraint标签定义，如下所示，指定了对资源/admin/* 的访问需要认证，只有角色是ADMIN的用户才能访问

<security-constraint>
<web-resource-collection>
<web-resource-name>adminDir</web-resource-name>
<url-pattern>/admin/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>ADMIN</role-name>
</auth-constraint>
</security-constraint>

配置认证方式 ，在web.xml中使用login-config标签配置认证方式。如下所示，当访问需要认证的资源时，servlet会检查对应的请求是否需要认证，如果不需要，则允许访问，如果没有认证通过，则会转到/admin/login.jsp页面定义的认证入口，填写认证信息。
当认证失败时，会转到/admin/error.jsp页面中。

<login-config>
<auth-method>FORM</auth-method>
<form-login-config>
<form-login-page>/admin/login.jsp</form-login-page>
<form-error-page>/admin/error.jsp</form-error-page>
</form-login-config>
</login-config>

对于auth-method，可以指定认证的方式为，BASIC、DIGEST、CLIENT-CERT、FORM 。其中FORM允许自定义登录界面，对于FORM自定义的登录表单，action、用户名、密码都要用统一的名字：

<form action="j_security_check" method="post">
<table>
<tr><td>user :</td><td><input name="j_username" type="text"></td></tr>
<tr><td>pass :</td><td><input name="j_password" type="password"></td></tr>
<tr><td><input type="submit"/></td></tr>
</table>
</form>


通过以上的配置，Request中也就保存了用户的认证信息了，在系统的其他地方，可以通过Request.isUserInRole方法，判断用户的角色。。。。