Tomcat -- 安全认证 -- About</security-constraint>
做过WEB项目的都知道，一但涉及用户，我们不得不为用户登录写一堆繁杂的验证代码。当然Spring AOP的诞生为我们的权限管理提供了不少的便利。甚至你也以用自己写的Filter（过滤器）来对你的程序进行登录时的验证。今天在这里和大家分享一种更为简便的方法，它就是Java Web的安全验证机制。
这种机制是对立地WEB的容器之上的，如Tomcat,JBoss等，你只须在你应用中的web.xml文件中做一定的配置就可以完成一个简单的登录验证的功能。确切地说WEB安全验证机制不仅可以让我们完成登录的功能，它更侧重于安全两字。你可以把受保护的资源全部定义在你的资源集里面，这样用户只有在取得了合法的身份验证之后才可以访问，它可以保护 WEB的整个应用、某个子文件夹、甚至于特定的一类文件，这将取决于你对资源集的定义。
Tomcat容器支持以下四种认证方式：
1. BASIC认证：这种方式被认为是最不安全的认证，因为它没有提供强烈的加密措施。

    4.CLIENT-CERT认证：这是一种基于客户端证书的认证方式，比较安全。但缺陷是在没有安全证书的客户端无法使用。 
 

     这里配置了数据库的连接信息以及指定了认证的用户表及角色表。 
     2 定义资源/方法约束 
     在web.xml文件中定义如元素： 
     <security-constraint>         <display-name>MyCMS</display-name>         <web-resource-collection>             <web-resource-name>Protected Area</web-resource-name>             <!-- Define the context-relative URL(s) to be protected -->             <url-pattern>/admin/*</url-pattern>         </web-resource-collection>         <auth-constraint>             <!-- Anyone with one of the listed roles may access this area -->             <role-name>Admin</role-name>         </auth-constraint>     </security-constraint>     <!-- Login configuration uses form-based authentication -->     <login-config>         <auth-method>BASIC</auth-method>         <realm-name>MyCMS</realm-name>     </login-config>         <!-- Security roles referenced by this web application -->     <security-role>         <description>             The role that is required to log in to the Administration Application         </description>         <role-name>Admin</role-name>     </security-role> 

     至此我们基本TOMCAT的安全认证配置就完成了。至于其它三种方式，配置类似，可以参考2中定义的web.xml文件