http://d.hatena.ne.jp/kuwalab/20080206#1202300252
http://www.techscore.com/tech/J2EE/Servlet/10.html

• 通常は個々のHTTPメソッド毎にアクセス制限を変えることは少ないので、の定義は１つで十分

• アクセス制限をかけるWebリソースと、アクセスを許可するロールの組み合わせが複数ある場合について説明します。その場合には、< security-constraint>タグを組み合わせの数だけ繰り返してください。 を繰り返すことにより、個々のWebリソースに対して、細かくアクセス権を設定する事ができます。

• ユーザ及びロールをTomcatで管理する方法には３種類あります。ここでは最も簡単な「MemoryRealm」を用いた方法について説明します。
  • Tomcatはデフォルトで、Tomcatのconfディレクトリにある「tomcat-users.xml」でユーザおよびロールを管理しています。この設定ファイルの内容は、Tomcat内にある全Webアプリケーションに影響しています。これをこのまま使用しても構わないのですが、ここでは任意のWebアプリケーションに対して、独自の設定ファイルを指定する方法について説明します。
  • タグの「rolename」属性はロール名を指定するものです。当然、このロール名はweb.xmlに定義したものに対応するものです。