1.         webapp本身的web.xml文件：配置容器角色和资源访问权限等

2.         web-inf/classes目录下的roles.properties和users.properties，配置用户以及用户的角色，这里的角色就是定义在web.xml文件中的角色。

3.         server/default/cof/login-config.xml，定义各个webapp使用的登录策略，也就是定义login-module。

4.         web-inf/jboss-web.xml文件，配置该webapp和login-config.xml中登录策略的对应关系。