在《深入浅出Servlet&JSP》那本书里面，安全那一章提到了可以在tomcat-user.xml配置用户和角色，并在相应的Web应用中的web.xml中进行授权范围配置，就可以将限定的资源保护起来。

但是这样做和我们自己在Servlet中接收表单的用户名密码，与数据库中进行比对，然后根据结果进行不同的响应有什么不同呢？（书上说可以让Servlet中不再需要编写关于这部分安全的代码，可移植性更强，但是我觉得这样配置起来是不是更繁琐？而且怎么进行注册呢？）

那这个通过修改xml来达到认证目的的办法一般用在什么时候？（现在知道的是用在登录tomcat的那个Manager页面）