Servlet安全性(1)----验证和授权

    验证，是验证某个人身份是否属实的过程，一般是通过要求用户输入用户名和密码完成。    授权主要是确定一个用户具有什么样的访问级别，它使用与包含多个访问区域的程序，使用户能够访问程序的某一个部分，但不能访问其他部分。    访问级别一般称为角色。在大多数的Servlet/JSP中，验证和授权都是通过编程的方式来完成的，具体做法是先将用户名和密码与数据库表进行验证。

定义用户和角色

在Tomcat中，通过编辑tomcat-user.xml文件 创建用户和角色：

文件里有关于定义的示范(已注释)

这里声明两个角色：manager和member，两个用户：tom和jerry。

我们也可以利用JDBC数据库来验证用户 。

强加安全性约束

我们知道，将静态资源和JSP页面保存在WEB-INF目录下，可以将其隐藏。放在这里面的资源无法通过直接输入网址来获取，但是任然可以通过一个Servlet或JSP页面跳转获取。这个方式虽然简单，但是这些资源被永远隐藏起来，他们永远无法直接获取到。如果只是想避免未授权的用户访问这些资源，那我们可以把他们放在应用下的任一目录，然后再在部署描述符中为他们声明安全性约束。

部署描述符中:防止访问某些资源下的资源

我们任意访问一个JSP文件：

下一个博客，将讲解如何对用户进行授权和验证