安全域是tomcat內置的功能，在org.apache.catalina.Realm接口中聲明了把一組用戶名，口令及所關聯的角色集成到Tomcat的方法中，Tomcat5提供了4個實現這一接口的類，它們代表了4種安全域類型。

　　下面我一一介紹其相關配置，及其應用方法。

　　運行環境：windows2000，tomcat5.0.28，jdk1.5，jdbc3.0，sqlserver2000，
　　測試目錄：%tomcat%\webapps\Area目錄。

　　1. 內存域：類名，MemoryRealm；在初始化階段，從xml文件中讀取安全驗證信息，并把它們以一組對象的形式放在內存中。
　　對于資源訪問它有三種方式：BASIC、DIGEST、FORM。使用Basic Authentication通過被認為是不安全的，因為它沒有強健的加密方法，除非在客戶端和服務器端都使用HTTPS或者其他密碼加密碼方式（比如，在一個虛擬私人網絡中）。
　　配置文件%tomcat%\conf\Catalina\localhost\Area.xml為：
　　<?xml version='1.0' encoding='utf-8'?>
　　<Context docBase="D:\jakarta-tomcat-5.0.28\webapps\Area" path="/Area" reloadable="true"
　　　workDir="work\Catalina\localhost\Area">
　　　　<Realm className="org.apache.catalina.realm.MemoryRealm"/>
　　</Context>
　　web應用所在的WEB-INF\web.xml為：
　　<?xml version="1.0" encoding="GB2312"?>
　　<!DOCTYPE web-app
　　 PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd">
　　　<web-app>
　　　　<security-constraint>
　　　　<display-name>sessiontest secruity constraint</display-name>
　　　　<web-resource-collection>
　　　　<web-resource-name>Protected Area</web-resource-name>
　　　　<url-pattern>/test/*</url-pattern>
　　　　</web-resource-collection>

　　　<auth-constraint>
　　　　<role-name>cool</role-name>
　　　</auth-constraint>
　　　</security-constraint>

<!--以下是基于BASIC驗證-->
　　　 <login-config>
　　　<auth-method>BASIC</auth-method>
　　 　<realm-name>Sessiontest Realm</realm-name>
　　　</login-config>

<!--以下是基于DIGEST驗證-->
<!--　 <login-config>
　　　<auth-method>DIGEST</auth-method>
　　 　<realm-name>Sessiontest Realm</realm-name>
　　　</login-config>
-->

<!--以下是基于FORM驗證-->
<!--　<login-config>
　　　　<auth-method>FORM</auth-method>
　　　　<realm-name>Sessiontest Realm</realm-name>
　　　　<form-login-config>
　　　　　<form-login-page>/usercheck.jsp</form-login-page>
　　　　　<form-error-page>/error.jsp</form-error-page>
　　　　</form-login-config>
　　　</login-config>
若采用form驗證，usercheck.jsp，主要參數(不要去更改它)設置如下：
<form method="post" action="j_security_check">
<input type="text" name="j_username"><br>
<br>
<input type="password" name="j_password"><br>
<br>
<input type="submit" value="login">
<input type="reset" value="reset">
</form>
-->

　　　 <security-role>
　　　<description> session jdbctest </description>
　　　<role-name>cool</role-name>
　　　</security-role>
　　</web-app>
基中<url-pattern>/test/*</url-pattern>表示受保護的資源為：http: //localhost:8080/Area/test/下的所有資源。role角色cool在%tomcat%conf中的tomcat- users.xml中添加：
　　 <role rolename="cool"/>
　　<user username="zxj1" password="zxj2" roles="cool"/>

　　2. JDBC域：類名，JDBCRealm，通過jdbc驅動程序訪問存在數據庫中的安全驗證。

　　3. 數據源域：類名，DataSourceRealm，通過JNDI數據源訪問存在數據庫中的安全驗證信息。

4. JNDI域：類名，JNDIRealm，通過JNDIproveider訪問存放在基于LDAP的目錄服務器中的安全驗證信息