Tomcat领域验证策略

当用户请求security-constraint中指定的受保护的资源时，会根据login-config中指定的验证方式采取不同的验证策略。共有四种方式：

1.BASIC（基本验证） 

此方法的缺点是用户名和密码采用Base64(可读文本)传输，缺乏安全性。

2.DIGEST（摘要验证）

采用MD5(Message Digest Algorithm)加密用户名和密码再行传输。

3.FORM（表单验证）

表单验证采用自定义的登陆和错误页面来代替标准的登陆窗口和错误提示。用户可以自定义加密和传输策略

4.CLIENT-CERT（安全证书）

要求服务器必须采用HTTPS并利用用户公开密匙证书(Pulic Key Certificat)对用户进行验证。提供了防范网络截取的很强的安全性，但只有兼容J2EE的服务器需要支持它。