安全性是Web应用程序开发工作中最关键的问题之一。在基于servlet的应用程序里，保护应用程序资源的办法有两种：一是对应用程序进行配置(web.xml)，二是使用Java代码硬编码到程序中。

安全性是Web应用程序开发工作中最关键的问题之一。在基于servlet的应用程序里，保护应用程序资源的办法有两种：一是对应用程序进行配置(web.xml)，二是使用Java代码硬编码到程序中。前一种方法使用配置文件，该方法很灵活，这是因为通过使用配置文件，无需改写任何代码就可以改变安全策略，是一种常见的手段。而Struts 2是基于servlet技术的，所以Struts 2的安全策略也可以使用配置文件进行灵活的配置。

配置安全策略时，有两个概念需要清楚的区分 ，用户和角色，简单的说用户为使用计算机的人，可以是个人或组织。角色是一个抽象的概念，泛指职务或者权限。例如，张三，李四，王五三个人，有职员、主管和经理三个职务(权限)，张三是用户，张三可以是主管职务，代表张三这个用户含有主管的权利。

不同的servlet容器所提供的用户和角色管理机制是不相同的。我使用的是Tomcat服务器，它提供的用户和角色管理机制文件是在其安装目录下的conf目录中的tomcat-users.xml文件，可以在这个文件里完成对用户和角色的编辑。例如：

这个文件定义了2个角色(tomcat和role1)和3名用户(tomcat、both和role1)。你可以在tomcat-users.xml文件里定义任意多个用户和角色。

使用Struts 2保护应用程序的资源

Struts 2应用程序的安全策略是通过部署web.xml文件中的security-constraint元素实现的，该元素的语法定义：

该语法说明了，security-constraint元素可以有一个可选的display-name子元素，至少一个web-resource-collection子元素，一个可选的auth-constraint子元素和一个可选的user-data-constraint子元素。

web-resource-collection子元素是用来列出打算保护的Web资源，具体的做法是为这些资源设置URL限制，它是通过设置web-resource-collection元素包含的子元素实现的：

◆ web-resource-name：是与受保护资源相关联的名称。该子元素为必须元素。

◆ description：对给定资源的描述。这个子元素为可选元素。

◆ url-pattern：用来设置URL表达式，与这个URL表达式相匹配的URL地址指向的资源将受到保护。该子元素为至少有一个，为必须元素。

◆ http-method：用来表明哪些HTTP方法将受到限制，例如设置为GET那么所有的GET请求就将受到限制。该元素为可选元素。

auth-constraint元素用于指定可以访问该资源用户角色集合。如果没有指定auth-constraint元素，就将安全约束应用于所有角色。它包含下面几个子元素：

◆ description：描述。该元素是可选元素。

◆ role-name：可以访问保护资源的用户角色。该元素可以有多个。

◆ user-data-constraint元素用来设置怎样保护在客户端和Web容器之间传递的数据。

◆ description： 描述。可选元素。

◆ transport-guarantee ：该元素有以下几个值

1. NONE，这意味着应用不需要传输保证。

2. INTEGRAL，意味着服务器和客户端之间的数据必须以某种方式发送，而且在传送中数据不能被篡改。

3. CONFIDENTIAL，这意味着传输的数据必须加密。

配置完毕security-constraint元素的基本信息，大致为下面的格式：

 Admin Arew *.action myeclipseWeb

这个security-constraint元素的效果为：只要与表达式"*.action"匹配的请求不是来自拥有"myeclipseWeb"权限的用户，Web容器就会阻断它。在这里还可以使用http-method元素，阻断特定方法的请求，因为没有使用会阻断所有方法提交的请求。

设置完安全策略后，还需要设置让用户有机会提供证明，证明自己有权限访问这个受限资源的登陆方法。允许使用的登陆方法使用login-config元素设置，下面为login-config元素的语法定义