使用 Resin 自带的身份验证机制给页面加入密码保护

Resin 自带了很多种身份验证机制, 例如纯文本, XML 和 JDBC 格式的等等, 详见 Resin 安装后自带的 resin-doc 里的网页. 这样一来如果我们想给某些页面加入密码保护机制, 就很容易了. 最典型的例子例如本站使用的是 JSPWiki 2.2.33, 它自身没有带严格的身份验证机制, 这样一来如果放到公网上, 就会非常危险. 例如说原来没有开放的时候我只想一个人来编辑, 就可以做如下的配置(修改 WEB-INF/web.xml):

  <!-- Add user names and passwords that can edit the wiki -->
  <authenticator type="com.caucho.server.security.XmlAuthenticator">
    <init>
    <!-- 可以加入多个 user, 格式: < user >用户名:密码:角色< / user > -->
      <user>adminuser:password:admin</user>
      <password-digest>none</password-digest>
    </init>
  </authenticator>
  <!--指定验证方式为 basic, 就是浏览器弹出对话框的那种 -->
  <login-config auth-method='basic'/>
  <!--被保护的页面地址及其允许的角色名 -->
  <security-constraint url-pattern='/Test.jsp' role-name='admin'/>

这时候点击 Test.jsp 后, 系统就会弹出窗口要求您进行身份验证, 输入admin角色对应的用户名和密码才可访问此页面. 是不是很简单呢?

Tomcat 中好像也可以用类似的方式保护, 但是具体没有试过, 只看到原来的作者写的下列注释了:

   <security-constraint>
       <web-resource-collection>
           <web-resource-name>Protected Area</web-resource-name>
           <url-pattern>/Test.jsp</url-pattern>
       </web-resource-collection>
       <auth-constraint>
           <role-name>admin</role-name>
       </auth-constraint>
   </security-constraint>