Servlet API中,对servlet安全考虑,可以使用@ServletSecurity
但是@ServletSecurity中,value需要返回@HttpConstraint
而@HttpConstraint中,rolesAllowed需要返回String[]类型的roles。
那么问题来了返回的roles与登录的用户名,密码在哪里建立联系呢?
使用tomcat时,位于tomcat安装目录下~/conf/tomcat-users.xml可以配置role与username,password的映射关系
配置如下:
<role rolename="tomcat"/>
<role rolename="role1"/>
<user username="tomcat" password="<must-be-changed>" roles="tomcat"/>
<user username="both" password="<must-be-changed>" roles="tomcat,role1"/>
<user username="role1" password="<must-be-changed>" roles="role1"/>
这里就创建了两个role(tomcat,role1)
并且有三个username,password被映射到了roles上