Servlet身份验证的过程看上去很简单:1、用户试图访问受保护的资源,例如某个JSP页面。2、如果该用户通过身份验证,servlet容器就会使该资源可用;否则,就请求用户输入用户名和口令。3、如果用户名和口令没有通过身份验证,就会显示错误消息,让用户再次输入新的用户名和口令。上述步骤很简单,但比较含糊。我们不清楚到底是谁请求输入用户名和口令,谁执行的身份验证,如何执行身份验证,怎么请求用户输入用户名和口令。这些步骤没有详细的说明,是因为servlet规范将它们留给应用程序和servlet容器来完成。Servlet规范的这种含糊性对可移植性产生了影响。
在说到安全的时候,上面步骤中的用户就是主体。主体是可以标识任何事物的实体名称,通常它们表示个体或公司。主体可以具有一个或多个角色,例如,顾客也可以成为雇员。声明性身份验证不需要编程,因为身份验证在部署描述信息中用XML标记来声明,由servlet容器实现。声明性身份验证很有吸引力,因为它比较容易,但它不如编写代码的方法灵活。