为了达到更好的效果，建议您在阅读本文之前请先阅读 Java Web应用程序的安全模型二。

　　 上文中myUsers.xml文件的密码都是以明文的方式存放的，这样看起来不是十分的安全，我们可以采用加密的方式来进行保存。本例我们采用MD5算法。

　　 说道MD5算法我们要稍稍多说一点，MD5其实是一种Hash函数，那么什么是hash函数呢?hash函数要做的就是给定一个输入然后计算出一个输出结果，如果输入不同那么结果应该不同的。MD5算法就是一种常用的hash函数，通过MD5算法我们可以给一个字符串计算出一个值，我们把这个值就成为摘要值。如：字符串“coresun”计算出的摘要值是“2dfb75bf781f454fa2e02048d8e23bd3”。理想情况下一个hash函数所采用的算法是只能够通过输入计算出摘要值，但是通过摘要值是不能够推断出原始输入的，其实MD5就是一个非常不错的算法。但是这一点我们大家应该记住，2004年山东大学的王小云教授已将此算法破解，令全世界震惊，大涨国人志气。

　　 那么我们怎么为一个字符串生成它的摘要值呢？在tomcat中有一个类org.apache.catalina.realm.RealmBase这个类在${CATALINA_HOME}serverlibcatalina.jar中，应用此类还要用到一个通用日志类org.apache.commons.logging.LogFactory,此类在commons-logging-1.1.jar中，可以到apache的网站上下载。http://commons.apache.org/logging/,准备好两个jar包之后,将两个jar包放在一个文件下如（D:lib）,然后按如下操作：

　　1.设置path环境变量，也就是java命令所在的命令，这个不用我多说了吧。

　　2.设置classpath环境变量，如 set classpath=D:catalina.jar;commons-logging-1.1.jar

　　3.通过下列命令生成coresun字符串的摘要值：java org.apache.catalina.realm.RealmBase -a MD5 coresun

　　稍等片刻，就会看到coresun:2dfb75bf781f454fa2e02048d8e23bd3

　　按照同样的方式将myUsers.xml文件中的密码都通过此方式计算摘要值。计算完之后用摘要值替换原始值，文件内容如下：

<tomcat-users>
　 <role rolename="suozhangshi"/>
　 <role rolename="guahaoshi"/>
　 <role rolename="danganshi"/>
　 <user username="gua2" password="7af209faf16bf686ece05b75f9131080" roles="guahaoshi"/>
　 <user username="dang2" password="908aa608050f6a7a7caf0c44c295845b" roles="danganshi"/>
　 <user username="suo1" password="f5dc9fddbe2dc1fd2389bc16e096fd51" roles="suozhangshi"/>
　 <user username="dang1" password="9bc8a8e63dce56f669b0247a47742ca8" roles="danganshi"/>
　 <user username="suo2" password="09d063a79ac6aba2290fcb8e31dd4c81" roles="suozhangshi"/>
　 <user username="gua1" password="f4adbb43c78e73a9dcf0dc1a8bb8bb93" roles="guahaoshi"/>
</tomcat-users>

　　 更改完之后，再将META-INF文件夹下的Context.xml 文件填入下列内容，

<Context>
　 <Realm className="org.apache.catalina.realm.MemoryRealm"
　　　　　　　　 pathname="webapps/SecurityWeb/WEB-INF/myDigestUsers.xml"
　　　　　　　　 digest="MD5" />
</Context>

　　 记住web.xml文件的内容不需要更改。重新部署并重新启动服务器，效果可以是一样的。

　　系列文章：

　　Java Web应用程序的安全模型一

　　Java Web应用程序的安全模型二

　　Java Web应用程序的安全模型四

　　Java Web应用程序的安全模型五

　　Java Web应用程序的安全模型六之数字签名

　　Java Web应用程序的安全模型七--SSL