作者:私语茶馆

1.Web应用与Tomcat的集成式鉴权

        Web应用部署在Tomcat时，一般有三层鉴权：

（1）操作系统鉴权

（2）Tomcat容器层鉴权

（3）应用层鉴权

        操作系统层鉴权包括但不限于：Tomcat可以和Windows的域鉴权集成，这个适合企业级的统一管理。也可以在Tomcat和应用层独立鉴权，后者相对简单和独立，可以适用于很多没有那么高统一鉴权要求的小微企业和家庭组网场景。

        本文讲述的是Tomcat+Web应用的鉴权，本章节讲BasicAuthentication方式。

      Basic Authentication是一种基于用户名和密码的基本鉴权机制，使用简单，应用也非常广泛。

2.Tomcat的Basic Authentication鉴权

        Tomcat的Basic Authentication鉴权流程如下：

（1）用户访问一个受保护的URL时，浏览器会弹出提示窗口，提醒输入用户名/密码，并传给Tomcat。

（2）Tomcat会检查用户名是否在tomcat-users.xml有条目，且用户配置的角色有对应的权限

（3）角色能访问应用的哪些资源是在应用的web.xml中配置。

2.1. tomcat-users.xml配置

 Tomcat-users.xml是基于角色的访问控制机制（RBAC），其格式如下：