摘要
　　Realm是一個用戶數據庫的概念，類似于Unix中的用戶群組，它通過用戶名和密碼來標識一個用戶，這個用戶屬于一定的角色（role）。而一個特殊的web應用資源，可以限定某個角色的用戶才被許可訪問。這種許可策略，使得web應用的整體權限控制與應用細節相剝離，從而獲得更好的可配置性。下面我們通過比較常見的基于數據庫，使用直接JDBC連接的Realm的配置使用情況，看看它是如何實現粗粒度的ACL的。(2004-03-13 11:21:34)

--------------------------------------------------------------------------------
By lanf

應用TOMCAT基于JDBC的的Realm （1）
作（譯）者：Lanf From LinuxAID

Realm是一個用戶數據庫的概念，類似于Unix中的用戶群組，它通過用戶名和密碼來標識一個用戶，這個用戶屬于一定的角色（role）。而一個特殊的web應用資源，可以限定某個角色的用戶才被許可訪問。這種許可策略，使得web應用的整體權限控制與應用細節相剝離，從而獲得更好的可配置性。下面我們通過比較常見的基于數據庫，使用直接JDBC連接的Realm的配置使用情況，看看它是如何實現粗粒度的ACL的。

JDBCRealm

JDBCRealm是使用JDBC連接關系數據庫的一個Tomcat 4 Realm接口的實現。它可以直接使用你現有的用戶數據庫表，來獲取角色用戶的信息，完成驗證。你必須滿足以下條件：

必須有個有效的數據表，里面有所有你需要通過Realm來認證的用戶。這張表必須至少有兩個字段，可以用來標示用戶名和密碼。
需要有一張表來標明用戶與角色的對應關系，用戶可以有任意個角色，沒有角色也是合法的，這是和UNIX用戶群組的不同之處。同樣這個表也需要兩個字段，來映射用戶名與角色名的對應關系。
數據庫準備

在我們的例子中，我們建兩張新表來處理realm的認證。
create table users (
  user_name         varchar(15) not null primary key,
  user_pass         varchar(15) not null
);

create table user_roles (
  user_name         varchar(15) not null,
  role_name         varchar(15) not null,
  primary key (user_name, role_name)
);
 

JDBC驅動

你需要將你的JDBC啟動包放在 $CATALINA_HOME/server/lib 目錄或者 $CATALINA_HOME/common/lib 目錄下，確保Tomcat能通過CLASSPATH找到它。使用mysql數據庫的話，你可以使用類似 mm.mysql-2.0.4-bin.jar 的驅動包；Oracle 9i你可以使用ojdbc14.jar等Oracle自帶的驅動；PostgreSQL可以在http://jdbc.postgresql.org/ 取得合適的驅動程序。

編輯server.xml

編輯$CATALINA_HOME/conf/server.xml文件，在host里添加如下片段（以MySQL為例）
 <Realm className = 'org.apache.catalina.realm.JDBCRealm' debug='0'
      driverName = 'org.gjt.mm.mysql.Driver'
connectionURL = 'jdbc:mysql://localhost/authority?user=dbuser&password=dbpass'
       userTable='users' userNameCol='user_name' userCredCol='user_pass'
   userRoleTable='user_roles' roleNameCol='role_name'/>

其中 jdbc:mysql://localhost/authority?user=dbuser&password=dbpass 是Mysql的連接串，你可以根據你的需要進行修改。其有關屬性介紹如下： 屬性 描述
className Realm的實現類，這里必須是 'org.apache.catalina.realm.JDBCRealm'
 
connectionName 數據庫用戶名
 
connectionPassword 數據庫用戶的密碼
 
connectionURL 數據庫的JDBC連接串
 
debug Debug的程度，它和Logger相關配置配合使用，值越高信息越詳細，缺省為0
 
digest 存儲密碼的加密方式，如果不指定則是明文存儲。指定為 java.security.MessageDigest 之類的類名則要看數據庫里表中用戶密碼的存放格式。
 
driverName 數據庫驅動程序類
 
roleNameCol 角色表的存放角色名的字段名.
 
userCredCol 用戶表里存放密碼的字段名
 
userNameCol 用戶表中存放用戶名的字段名
 
userRoleTable 角色表的表名（類似/etc/group）
 
userTable 用戶表的表名
 

注意點

如果你對用戶表進行了新增操作和修改操作，那么會實時作用于正要進行登陸操作的用戶；
用戶已經完成登陸后，你對它進行的刪除修改操作，并不能實時作用于用戶的當前狀態，只能在此用戶下次登陸的時候生效；（如果是基于表單認證的用戶，是在會話結束或者他注銷后當前認證失效；如果是基礎認證的用戶則需要等到當前窗口關閉）
對數據庫里那兩個表的增刪改管理，你需要自行編寫合適的業務代碼，Tomcat并沒有提供標準的實現，這是沒有意義的。
編譯者注：這部分內容是幫助newbie理解Realm而直接從Realm Configuration HOW-TO中摘譯的，是我們完整例子所必須要了解并正確配置的部分，不過似乎沒有看到類似的譯文，就做了這件累贅的事情。這系列文章對熟手基本沒有什么幫助，請見諒。