为了达到更好的效果，建议您在阅读本文之前请先阅读 Java Web应用程序的安全模型一。

　　 上文且说到tomcat-users.xml文件，这个文件中的内容是不依赖于任何一个web应用程序，所以在任何一个web程序中都可以使用，如果这些用户和角色只对你的应用起作用，那么你完全可以放置在你自己的应用程序中，比如WEB-INF中.下面我们将上次加入到tomcat-users.xml文件中的内容，加入到我们在WEB-INF下新建的myUser.xml文件中,注意此文件应该是以<tomcat-users>为根目录，如下所示：

<tomcat-users>
　 <!--定义角色-->
　 <role rolename="suozhangshi"/>
　 <role rolename="guahaoshi"/>
　 <role rolename="danganshi"/>
　 <!--定义用户，并加入到角色中-->
　 <user username="gua1" password="gua1" roles="guahaoshi"/>
　 <user username="gua2" password="gua2" roles="guahaoshi"/>
　 <user username="dang1" password="dang1" roles="danganshi"/>
　 <user username="dang2" password="dang2" roles="danganshi"/>
　 <user username="suo1" password="suo1" roles="suozhangshi"/>
　 <user username="suo2" password="suo2" roles="suozhangshi"/>
</tomcat-users>

　　 这个文件已经建立好了，那么怎么告诉Tomcat加载这个文件呢？我们通过下面这一种方式，在你的Web应用程序中的META-INF文件夹中加入Context.xml 文件，这样当此应用程序部署的时候，就会加载该文件的内容，内容如下：

<Context>
　 <Realm className="org.apache.catalina.realm.MemoryRealm"
　　　　　　　　 pathname="webapps/SecurityWeb/WEB-INF/myUsers.xml" />
</Context>

　　 Realm标签中className属性定义了使用MemoryRealm类从pathname处加载xml文件。关于Realm的详细信息，我们今后找专题研究。还要注意这里的pathname它是以相对Tomcat根目录的，所以上文件路径应该从webapps开始。最后重新启动服务器再访问你程序，应该能够看到和上次相同的效果。

　　系列文章：

　　Java Web应用程序的安全模型一

　　Java Web应用程序的安全模型三

　　Java Web应用程序的安全模型四

　　Java Web应用程序的安全模型五

　　Java Web应用程序的安全模型六之数字签名

　　Java Web应用程序的安全模型七--SSL