当访问服务器中受保护的资源时，容器管理的验证方法可以控制确认用户身份的方式。Tomcat支持四种容器管理的安全防护，它们是： 1、BASIC(基本验证)：通过HTTP验证，需要提供base64编码文本的用户口令 2、DIGEST(摘要验证)：通过HTTP验证，需要提供摘要编码字符串的用户口令 3、FORM(表单验证)：在网页的表单上要求提供密码 4、CLIENT-CERT(客户端证书验证)：以客户端证书来确认用户的身份 基本验证 当web.xml文件中的auth-method元素设置为BASIC时，表明应用使用的是基本验证，每次浏览器请求受保护的Web应用资源时，Tomcat都会使用HTTP基本验证向浏览器索取用户名和密码（以页面弹窗的方式）。使用这种验证方法，所有的密码都会以base64编码的文本在网络上传输。 先看下项目结构（我用Maven管理的依赖）： [img]http://img.1sucai.cn/uploads/article/2018010710/20180107100109_0_74790.png[/img] 其中，protect/protect.jsp是被保护的，需要授权访问。 说明：本文提到的tomcat-users.xml，server.xml等文件，如果是在Eclipse中启动tomcat，则这些文件在Eclipse中的Servers工程下对应的tomcat下，如图： [img]http://img.1sucai.cn/uploads/article/2018010710/20180107100109_1_65861.png[/img] 而本文提到的web.xml是指项目自己的web.xml，而非Servers项目下Tomcat中的web.xml。 web.xml <security-constraint>  <web-resource-collection>   <http-method>GET</http-method>   <web-resource-name>tomcat protect page</web-resource-name>   <!-- /protect目录下的所有资源是受保护的 -->   <url-pattern>/protect/*</url-pattern>  </web-resource-collection>  <auth-constraint>   <!-- 这里的member要与tomcat-user.xml中配置的role一致 -->   <role-name>member</role-name>  </auth-constraint> </security-constraint> <login-config>  <!-- 验证方式，可选的值为： "BASIC", "DIGEST", "FORM", "CLIENT-CERT" -->  <auth-method>BASIC</auth-method>  <!-- 使用的Realm名字，注意这里不能有空格 -->  <realm-name>MyConstraints</realm-name> </login-config>   tomcat-user.xml（注意如果是在Eclipse中启动tomcat，这个tomcat-user.xml在Eclipse中的Servers工程下） <role rolename="member"/> <!-- member角色下有一个叫alvis的用户，密码为pwd --> <user username="alvis" password="pwd" roles="member"/> 重启tomcat后，访问protect目录下的资源，情况是这样的： [img]http://img.1sucai.cn/uploads/article/2018010710/20180107100110_2_68593.png[/img] 输入账户alvis，密码pwd后，访问成功（当然，非protect目录下的资源是可以直接访问的）： [img]http://img.1sucai.cn/uploads/article/2018010710/20180107100110_3_76227.png[/img] 摘要验证 当web.xml文件中的auth-method元素设置为DIGEST时，表明应用使用的是摘要验证。还是上面的例子，看配置： web.xml和基本验证一样，只是auth-method修改为DIGEST，此处不赘述。 server.xml中的UserDatabaseRealm（如果tomcat使用的是其他Realm，也一样的）里增加digest属性： [img]http://img.1sucai.cn/uploads/article/2018010710/20180107100111_4_46166.png[/img] 接下来，要生成tomcat可识别的MD5密码。方式有两种，正如官网描述： Tomcat,容器管理,安全验证 方式一：用代码来生成： import org.apache.catalina.realm.RealmBase; public class T {  public static void main(String[] args) {   //参数1：要加密的字符串；参数2：加密算法；参数3：字符串的编码   String base = RealmBase.Digest("alvis:MyConstraints:pwd", "MD5", null);   System.out.println(base);  } } 由于RealmBase类在catalina.jar包中，如果项目中没有这个类，可在项目上右键-->Java Build Path--> Libraries-->Add Library-->选择Server Runtime-->选择Apache Tomcat V8.0(其实7.0也行)，如图： [img]http://img.1sucai.cn/uploads/article/2018010710/20180107100111_5_21449.png[/img] 方式二：用脚本来生成： 在tomcat/bin目录下有个digest.sh(Linux系统)或digest.bat(Windows系统)脚本，运行这个脚本，传入摘要算法和参数即可，这里我在Windows系统上运行，如图： [img]http://img.1sucai.cn/uploads/article/2018010710/20180107100111_6_97710.png[/img] 这里的-a指定摘要算法为MD5，要特别注意这里的参数是：{用户名}:{Realm名}:{密码明文}。用户名就是tomcat-users.xml中配置的<user>名字(这里为alvis)，Realm名是在web.xml中配置的<realm-name>(这里为MyConstraints)，密码明文即该用户用于登录的密码(我这里设为pwd)。 只有这样的参数加密后的密码，在tomcat-users.xml中配置才有效，否则是登录不了的。由于我是参考《Tomcat权威指南(第二版)》的步骤做的，之前试了很久都不知道为什么登录不了，结果在官网找到答案，是这么描述的：  Tomcat,容器管理,安全验证 大意是说，如果使用DIGEST方式验证，用于生成摘要的明文必须被替换为这种格式。实践出真知，所以还是不能完全看书啊，动手实践才是实在的。 然后就是在tomcat-users.xml中配置生成的密码（通过下方的截图，可以比较password跟上方digest.bat脚本生成的密码是否一致）： [img]http://img.1sucai.cn/uploads/article/2018010710/20180107100112_7_16923.png[/img] 之后重启tomcat，效果自然是跟使用基本验证的效果一样了。 表单验证 当web.xml文件中的auth-method元素设置为FORM时，表明应用使用的是表单验证。当用户请求Web应用程序受保护的资源时，表单验证会跳转至配置的登录页面。当登录失败时，还需要一个验证失败的页面，还是上面的例子，看配置： web.xml <security-constraint>  <web-resource-collection>   <http-method>GET</http-method>   <web-resource-name>tomcat member part</web-resource-name>   <url-pattern>/protect/*</url-pattern>  </web-resource-collection>  <auth-constraint>   <role-name>member</role-name>  </auth-constraint> </security-constraint> <login-config>  <auth-method>FORM</auth-method>  <realm-name>MyConstraints</realm-name>  <form-login-config>   <form-login-page>/form/login.html</form-login-page>   <form-error-page>/form/error.html</form-error-page>  </form-login-config> </login-config> 这里的form/login.html是用于登录的页面，而form/error.html则是验证失败后跳转到的页面（这两个页面在上方的工程结构图中已经有了）。 login.html <html>  <body>  <h2>Login Page.</h2>  <form method="post" action="j_security_check" name="loginForm">   <input type="text" name="j_username" /><br>   <input type="password" name="j_password" /><br>   <input type="submit" value="Login" />  </form>  </body> </html> 注意：这里form的action="j_security_check"，账号的name="j_username"和密码的name="j_password"都是不可变的，否则配置的验证规则不起作用。 server.xml中，要去掉Realm中添加的“digest=MD5”这个属性： [img]http://img.1sucai.cn/uploads/article/2018010710/20180107100112_8_46656.png[/img] tomcat-users.xml中使用明文保存密码： [img]http://img.1sucai.cn/uploads/article/2018010710/20180107100113_9_49455.png[/img] 效果（仅在访问protect目录下的资源时才出现Login Page）： [img]http://img.1sucai.cn/uploads/article/2018010710/20180107100113_10_97885.png[/img] 输入错误的账号和密码，跳转至form/error.html页面： [img]http://img.1sucai.cn/uploads/article/2018010710/20180107100114_11_33019.png[/img] 输入正确的账号和密码，跳转至受保护的页面： [img]http://img.1sucai.cn/uploads/article/2018010710/20180107100114_12_23499.png[/img] 客户端证书验证 待续   Demo下载： 链接: [url=http://pan.baidu.com/s/1gfnqVdT]http://pan.baidu.com/s/1gfnqVdT[/url] 密码: pubw 参考页面： [url=https://tomcat.apache.org/tomcat-7.0-doc/realm-howto.html]https://tomcat.apache.org/tomcat-7.0-doc/realm-howto.html[/url]