通读Java
Servlet规范,特别是第13.6.3节。读规范听起来很吓人,但是Java
Servlet规范是我读过的最易读的书之一:它是由程序员而非律师阅读的。
快速摘要是,当用户尝试访问受保护的页面(尚未经过身份验证)时,将向他们显示登录页面。“提交”按钮将用户名和密码发布到执行身份验证(检查用户名/密码)的servlet容器(Tomcat),然后返回登录页面(如果用户名/密码不正确)或将用户重定向回到他们最初请求的受保护页面。
这里发生的事情并不明显,因为容器(Tomcat)正在为您处理它。阅读规范(实际上是整个过程)将使您对一切工作原理有深刻的了解,并使您更好地准备接受已继承的代码。
EDT更新2014-10-22 13:45
要确定执行的身份验证类型,您需要
<Realm>在Web应用程序的
meta-INF/context.xml文件中或
conf/server.xml嵌套在Web应用程序的
<Context>元素内的Tomcat的元素中查找一个元素。它将指示正在使用的领域的类型(通常为的“内存”
conf/tomcat-users.xml,或
DataSource/
JDBC指示认证信息在关系数据库中,等等)。
规范不涵盖“领域”内容。为此,您必须参考Tomcat文档,或一般地加入Tomcat用户列表和社区。
