14.1、验证和授权

验证是检验某个人是否是他/她所声称的那个人的过程。在Servlet/JSP应用程序中，验证一般是通过要求用户输入用户名和密码来完成的。

授权主要是确定一个用户具有什么样的访问级别。它使用于包含多个访问区域的应用程序，使用户能够访问应用程序的某一部分，但是不能访问其他部分。例如，网上商店可以分为公共区（供一般的公共浏览和查找商品），买家区（供已注册用户下单用），以及需要最高访问级别的管理区。不仅管理员用户自身也需要进行验证，并且还必须是已经被允许访问管理区的用户才行。访问级别经常被称作角色。

14.1.1、定义用户和角色

每一种兼容的Servlet/JSP容器都必须提供一种定义用户和角色的方法。如果你使用的是Tomcat，就可以通过编辑conf目录下的tomcat-users.xml文件来创建用户和角色。tomcat-users.xml文件范例如下：

<?xml version=’1.0’ encoding=’utf-8’?>

<tomcat-users>

<role rolename=”manager”/>

<role rolename=”member”/>

<user username=”tom” password=”secret” roles=”manager,member”/>

<user username=”jerry” password=”secret” roles=”member”/>

</tomcat-users>

tomcat-users.xml文件是一个带有tomcat-users根源素的XML文档。其中有role和user元素。role元素定义角色，user元素定义用户。role元素有一个rolename属性，用来指定角色的名称。user元素有username、password和roles属性。username属性指定用户名称，password属性指定密码，roles属性则指定该用户所属的一个或多个角色

第十四章_安全性