主要在tomcat的conf/server.xml文件和web應用程序中的web-inf/web.xml文件中的<security-constraint>配置
tomcat含有可插入式的領域架構,並具備幾種有用的領域實現:UserDatabaseRealm,JDBCRealm,JNDIRealm和JAASRealm。要指定用哪種,則需在server.xml文件中用<Realm>標籤插入,calssName屬性設定使用領域。
- UserDatabaseRealm與文件tomcat-users.xml文件有關。
- JDBCRealm是從數據庫中讀取存儲的用戶,密碼以及角色等。
- JNDIRealm從LDAP目錄取得用戶名,密碼,角色。
- JAASRealm是經由JAAS(Java Authentication and Authorization Service, Java驗證與授權服務)驗證用戶的一種領域實現。
容器管理的安全防護
主要用於訪問受保護的資源時控制確認用戶身份的方式。tomcat支持四種容器管理的安全防護,而每種類型都以不同的方式取得身份:
- 基本驗證
- 摘要驗證
- 表單驗證
- Client-cert驗證
單次簽名
讓用戶只需嚴明身份一次,就可訪問虛擬主機上加載的所有web應用程序,方法是在server.xml文件中加入SingleSignOn value元素。
控制會話
- tomcat具備可插入式session Managers(會話管理器),可控制處理會話的邏輯,並且有session Store以儲存及加載會話。方法是在server.xml文件中用Manager元素,還有些需要在web應用程序的web.xml中設定。
- 會話持續性是指在關閉服務器時將HTTP會話保存於硬盤中,以及當重啓服務器時對應重載的機制。
- 兩種Manager實現:StandardManager和PersistentManager。
- tomcat有兩種Store的實現:FileStore和JDBCStore。