在 Apache Geronimo 中限制目录访问：使用 J2EE 声明性安全

核心提示： 首先，查看一下 configId 和 parentId 的值，在 Apache Geronimo 中限制目录访问：使用 J2EE 声明性安全(9)，configId 指定您的应用程序的名称，即 com/ibm/geronimo/security/myApp，稍后用户尝试登录时将根据用户和密码对其

首先，查看一下 configId 和 parentId 的值。configId 指定您的应用程序的名称，即 com/ibm/geronimo/security/myApp，并且扩展您前面所配置的领域：com/ibm/geronimo/security /myRealm。接下来设置环境，环境是指您的应用程序在 Geronimo 上部署时所在的目录。 然后，在 <security-realm-name> 标记中确定您将使用的领域的名称（这个领域名是您在 my-realm.xml 文件中已经定义的），并在 <security> 标记中定义映射。

默认用户映射 —— nobody —— 首先被定义。然后定义角色映射。回忆一下您刚才在 web.xml 文件中定义了两个安全角色。第一个映射将 registeredUsers 组中的所有用户映射到 registered-users 角色。第二个也是最后一个映射将管理员和根用户映射到 administrators 角色。接下来定义与 registeredUsers 组相关的用户以及每个用户和密码。

属性文件

您还记得在 清单 4 中所引用的用户和组的属性文件吗？当有用户登录时，您的应用程序引用的用户名和密码将被保存在 users.properties 和 groups.properties 文件中。users.properties 文件保存用户名和密码，而 groups.properties 文件保存组名以及与每个组相关的用户。

现在，您需要定义属性。首先，创建名为 my_users.properties 的文件，并把它放在如下位置，即您的 Geronimo 发行版的根目录下：./var/security/my_users.properties。如 清单 11 所示对它进行定义。

清单 11. 定义用户和他们的密码

admin=imtheboss　
root=icandeleteanything　
bob=by　
joe=schmoe　
kris=sy　
john=doe　
nobody=nobody　

现在您已经指定了用户和密码，稍后用户尝试登录时将根据用户和密码对其进行身份验证。也可以定义用户组。创建文件 my_groups.properties，并把它放在与刚刚创建的 my_users.properties 文件相同的目录下：