Tomcat 容器的安全认证

，包含了各个类的核心方法，关键类或接口的作用如下：

• Realm - 译为域，域有泛指某种范围的意思，在这个范围内存储着用户名、密码、角色和权限，并且提供身份和权限验证的功能，典型的这个范围可以是某个配置文件或数据库
• CombinedRealm - 内部包含一个或多个 Realm，按配置顺序执行身份验证，任一 Realm 验证成功，则表示成功验证
• LockOutRealm - 提供用户锁定机制，防止在一定时间段有过多身份验证失败的尝试
• Authenticator - 不同身份验证方法的接口，主要有 BASIC、DIGEST、FORM、SSL 这几种标准实现
• Principal - 对认证主体的抽象，它包含用户身份和权限信息
• SingleSignOn - 用于支持容器内多应用的单点登录功能

2.1 初始化

Realm 是容器的一个可嵌套组件，可以嵌套在 Engine、Host 和 Context 中，并且子容器可以覆盖父容器配置的 Realm。默认的 server.xml 在 Engine 中配置了一个 LockOutRealm 组合域，内部包含一个 UserDatabaseRealm，它从配置的全局资源 conf/tomcat-users.xml 中提取用户信息。

web.xml 中声明的安全约束会初始化成对应的 SecurityConstraint、SecurityCollection 和 LoginConfig 对象，并关联到一个 StandardContext 对象。

在上图可以看到，AuthenticatorBase 还实现了 Valve 接口，StandardContext 对象在配置的过程中，如果发现声明了标准的验证方法，那么就会把它加入到自己的 Pipeline 中。

3. 一次请求认证和鉴权过程

Context 在 Tomcat 内部就代表着一个 Web 应用，假设配置使用 BASIC 验证方法，那么 Context 内部的 Pipeline 就有 BasicAuthenticator 和 StandardContextValve 两个阀门，当请求进入 Context 管道时，就首先进行认证和鉴权，方法调用如下： 应用身份验证成功后，都会把用户身份信息缓存到 SSO 中，并生成一个名为 JSESSIONIDSSO 的 Cookie

当用户再次访问这个主机时，会通过 Cookie 拿出存储的用户 token，获取用户 Principal 并关联到 Request 对象中

在单机环境下，没有问题，在集群环境下，Tomcat 支持 Session 的复制，那单点登录相关的信息也会同步复制吗?后续会继续分析 Tomcat 集群的原理和实现。

5. 小结

本文介绍的是 Tomcat 内部实现的登录认证和权限，而应用程序通常都是通过 Filter 或者自定义的拦截器(如 Spring 的 Interceptor)实现登录，或者使用第三方安全框架，比如 Shiro，但是原理都差不多。

至此，除了集群的实现，Tomcat 的核心原理已经分析完毕，接下来将会模拟实现一个简单的 Tomcat，欢迎关注。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!