Tomcat 7 中的 JDBC Realm 配置

Tomcat 7 作为一个 Container，支持灵活的认证配置方式。

认证配置	说明
UserDatabase	基于服务器本地文件 tomcat-users.xml
JDBCRealm	基于外部数据库
JNDIRealm	基于外部数据源，如 LDAP

这块提供用户信息的数据源称为 Realm。

如果我们自行管理，可以使用 JDBCRealm, 即把用户信息放在外部数据库中的方式。

首先你需要在 Tomcat 的 conf/server.xml 中配置 Realm。

把原来的 Realm 注释掉

Tomcat 缺省使用 UserDatabase Realm，即基于本地 tomcat-users.xml 的信息。

原来的 Realm 有可能是在 LockOutRealm 里面的，没有关系，把那一段注释掉即可。

设备用户数据表

Tomcat 对 JDBCRealm 数据表是有要求的。

表	说明	必要性
用户表	至少要有两列，一列是用户名，一列是密码。 强烈建议以用户名为主键，并以 MD5 等 Hash 方式保存密码	必须
角色表	至少应用一列是角色名。 强烈建议以角色名为主键	可选
用户-角色表	这实际上是一个关联表。 建议以用户-角色为主键，通过外键约束到用户表和角色表。 必有一列是用户名，另一列是角色名，用户名的列名要与用户表中的列名一致	必须

注意：不建议用自动生成的数字 ID 作为用户表或角色表的主键！

配置新的 Realm

按以下内容配置新的 Realm

<Realm className="org.apache.catalina.realm.JDBCRealm"
driverName="com.mysql.jdbc.Driver"
connectionURL="jdbc:mysql://localhost/tomcat_realm"
connectionName="database_user"
connectionPassword="database_user_pass"
digest="MD5"
userTable="usr"
userNameCol="usr_name"
userCredCol="passwd_md5"
userRoleTable="usr_grp"
roleNameCol="grp_name"/>

这里的数据表配置很有讲究。

tomcat_realm 是保存用户数据库的名字

digest=”MD5” 表明我们不保存用户的密码，我们只保存 MD5 的 Hash，这样安全性相对好些

userTable 是保存用户信息的表，它必须有两列，一列指定 username 另一列指定 password

userNameCol/CredCol 是表中用户名和密码的列

userRoleTable 是一个 JoinTable，但它不建议使用数字 id 作为键来关联。它建议直接用 username 和 rolename 作为主键，来进行关联。

强调一下：
userRoleTable 中的“用户名”列，其列名必须与 userTable 中的“用户名”列的列名一致!
比如，都叫 “usr_name”

userRoleTable 中的“用户名”列，其列名必须与 userTable 中的“用户名”列的列名一致!
比如，都叫 “usr_name”

userRoleTable 中的“用户名”列，其列名必须与 userTable 中的“用户名”列的列名一致!
比如，都叫 “usr_name”


重要的事情说三遍。

详细的说明见：

https://tomcat.apache.org/tomcat-7.0-doc/realm-howto.html