J2EE安全应用___web.xml的安全配置
------------------tomcat .5.5 测试可用----------------阅读声明: 本次案例,使用tomcat的tomcat-users.xml文件
tomcat-users.xml提供了安全领域,这个文件会在tomcat启动时加载进内存,它足够用来
测试安全的配置效果。文件有如下内容:(如果没有,请复制到tomcat的conf文件夹)

------我们可以看到,上面声明的一些角色role,并定义的几个用户user-----
------不难发现,一个用户可以有多种角色 ---------------------------
然后是web.xml配置以下信息:


上面的其中几个元素,有特殊规则如下
特殊规则：<role-name>:如果存在一个<auth-constraint>元素,却没有任何<role-name>,那么所有的用户都遭到拒绝.就算有其它的<auth-constraint>也如此(注:<auth-constraint>可以配置多个<auth-constraint>:如果不存在,容器允许不经认证就能访问这些URL<security-constraint>:可以多个,也导致它在可以出现同时两个对资源进行限制且请求方式相同但限制指定角色不同 而这些不同在<auth-constraint>中,有以下四种情况:1: Guest + Admin = (Guest,Admin)2: Guest + * = (*) //即所有人3: <auth-constraint/> + admin = ()//即没有人4: 没<auth-constraint> + Admin = (*)//所有人