tomcat配置手册
说明:以下文字均以tomcat5.0.30为例进行。
1,配置tomcat服务器访问端口,只需配置Connector的port端口即可。Tomcat默认为8080,现修改port参数值为80。
enableLookups=\"false\" redirectPort=\"8443\" acceptCount=\"100\" debug=\"0\" connectionTimeout=\"20000\" disableUploadTimeout=\"true\" URIEncoding=\"GBK\"/> 2,配置tomcat支持URL中文参数,只需添加Connector的URIEncoding参数即可,默认情况下该参数未被配置。要支持URL参数支持中文,加上URIEncoding=\"GBK\"就行了(见1中附代码最后一行)。 3,配置新的webApp:找到host尾标记,插入新的context即可。 如: (1) (2) className=\"org.apache.catalina.logger.FileLogger\" prefix=\"localhost_DBTest_log.\" suffix=\".txt\" timestamp=\"true\"/> tomcat5.5.x 配置记录。 1.下载: http://www.eu.apache.org/dist/jakarta/tomcat-5/ http://www.apache.org/dist/jakarta/tomcat-5/v5.5.x/bin/jakarta-tomcat-5.5.x-admin.zip http://www.apache.org/dist/jakarta/tomcat-5/v5.5.x/bin/jakarta-tomcat-5.5.x-compat.zip http://www.apache.org/dist/jakarta/tomcat-5/v5.5.x/bin/jakarta-tomcat-5.5.x.zip http://www.apache.org/dist/jakarta/tomcat-5/v5.5.x/bin/jakarta-tomcat-5.5.x-deployer.zip 把jakarta-tomcat-5.5.x.zip 和jakarta-tomcat-5.5.x-compat.zip 和jakarta-tomcat-5.5.x-admin.zip (Tomcat 默认是没有内置admin模块了 Tomcat's administration web application is no longer installed by default. Download and install the \"admin\" package to use it. ) 都解压到同一个目录下面。比如:D:\\jakarta-tomcat-5.5.x\\ (如果使用jdk1.4,才需要compat.zip用jdk1.5就可以免了这个。) 2.修改jakarta-tomcat-5.5.x\\conf\omcat-users.xml. 添加管理员账号lizongbo,密码为lizongbopass. 新xml如下: 3.修改jakarta-tomcat-5.5.x\\conf\\server.xml来解决编码问题。 ( 给 Connector 添 加 URIEncoding 参 数 , 参 http://blog.csdn.net/darkxie/archive/2004/10/25/TOMCATAPP.aspx) (可以设置成GB18030) connectionTimeout=\"20000\" disableUploadTimeout=\"true\" URIEncoding=\"GBK\" compression=\"on\" compressionMinSize=\"2048\" noCompressionUserAgents=\"gozilla, traviata\" compressableMimeType=\"text/html,text/xml\"/> 4.启用支持gzip压缩. (http://www.linuxaid.com.cn/forum/showdoc.jsp?l=1&i=81169) 添加下列属性 compression=\"on\" compressionMinSize=\"2048\" noCompressionUserAgents=\"gozilla, traviata\" 考 compressableMimeType=\"text/html,text/xml\" 5.设置虚拟主机。 在jakarta-tomcat-5.5.x\\下建立文件夹vhost\\www.mydomain.com。 然后修改jakarta-tomcat-5.5.x\\conf\\server.xml 6.添加数据库驱动,更新mail.jar和actiovation.jar 复 制 mysql-connector-java-3.0.16-ga-bin.jar,pg74.215.jdbc3.jar jakarta-tomcat-5.5.x\\common\\lib\\ 还有javamail 1.3.2的mail.jar,jaf-1_0_2的 activation.jar msSQl 2000 JDBC sp3,msbase.jar,msutil,jar,mssqlserver.jar 7.配置SSL 参考 http://jakarta.apache.org/tomcat/tomcat-5.5-doc/ssl-howto.html D:\\j2sdk1.4.2_06\\bin>%JAVA_HOME%\\bin\\keytool -genkey -alias tomcat -keyalg RSA 输入keystore密码: lizongbossl 您的名字与姓氏是什么? [tomcat5.5.x]: tomcat5.5.x 您的组织单位名称是什么? [jakarta]: jakarta 您的组织名称是什么? [apache]: apache 您所在的城市或区域名称是什么? [hzcity]: hzcity 您所在的州或省份名称是什么? [gdp]: gdp 该单位的两字母国家代码是什么 [CN]: CN CN=tomcat5.5.x, OU=jakarta, O=apache, L=hzcity, ST=gdp, C=CN 正确吗? [否]: y 输入 (如果和 keystore 密码相同,按回车): (必须密码一致,因此直接回车) 然后再把userhome(例如:C:\\Documents and Settings\\lizongbo\\)下的.keystore复制到 到 tomcat的conf\\目录下。 (例如:D:\\jakarta-tomcat-5.5.x\\conf\\.keystore ) 配置jakarta-tomcat-5.5.x\\conf\\server.xml 加上 keystorePass=\"lizongbossl\"> 修改jakarta-tomcat-5.5.x\\conf\\web.xml,把listing设置为false 9.指定了自己的javaEncoding (ml ) 参 考 http://gceclub.sun.com.cn/staticcontent/html/sunone/app7/app7-dg-webapp/ch6/ch6-4.ht 10.添加rar,iso等的mime-type映射 避免在浏览器里直接打开。 10.1对html静态页面设置编码 11.添加welcome-file-list,并调整顺序。 Tomcat中文编码问题解决方案(简) liyonghai 04/08/30 编 Tomcat 4.x解决方法: 获取中文:request.setCharacterEncoding(\"gb2312\"); 输出中文:<%@ page contentType=\"text/html;charset=gb2312\" %>,必要时需要转码 Tomcat 5.x解决方法: 获取中文: 提交表单时 1)post:request.setCharacterEncoding(\"gb2312\"); 2)get:修改server.xml,在Connector中加入URIEncoding=\"gb2312\" 如 : maxThreads=\"150\" minSpareThreads=\"25\" maxSpareThreads=\"75\" enableLookups=\"false\" redirectPort=\"8443\" acceptCount=\"100\" debug=\"0\" connectionTimeout=\"20000\" disableUploadTimeout=\"true\" URIEncoding=\"gb2312\" /> 或者使用useBodyEncodingForURI,使tomcat 5.x兼容tomcat 4.x 输出中文:<%@ page contentType=\"text/html;charset=gb2312\" %>,必要时需要转码 附:Tomcat 5.x与Tomcat 4.x在解析提交表单时发生了变化,Tomcat 4.x无论是post还是get,都使用 相同的编码,而Tomcat 5.x 却把get方法单独了出来.具体可查看tomcat的source code. get方式的处理比较好,对于post方式建议用配置过滤器的方式来解决,因为这样,配置一个地方整个系统都不用操心了。 简单说明: web.xml 码 问 题 的 根 源 可 参 考 http://www-900.ibm.com/developerWorks/cn/java/java_chinese/index.shtml /************************/ SetCharacterEncodingFilter.java -------------------------------------------- import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.UnavailableException; /** * Example filter that sets the character encoding to be used in parsing the * incoming request */ public class SetCharacterEncodingFilter implements Filter { /** * Take this filter out of service. */ public void destroy() { } /** * select and set (if specified) the character encoding to be used to * interpret request parameters for this request. */ public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)throws IOException, ServletException { request.setCharacterEncoding(\"GBK\"); // 传递控制到下一个过滤器 chain.doFilter(request, response); } public void init(FilterConfig filterConfig) throws ServletException { } } ////也可以把编码做为参数传递进去。 12.如果你的webapp需要只能够进行https方式访问,那么在webapp的web.xml里加上: 参考:http://jakarta.apache.org/tomcat/faq/security.html#https http://marc.theaimsgroup.com/?l=tomcat-user&m=104951559722619&w=2 13.修改远程关闭服务器的命令。 server.xml默认有下面一行: 这样允许任何人只要telnet到服务器的8005端口,输入\"SHUTDOWN\",然后回车,服务器立即就被关掉了。 从安全的角度上考虑,我们需要把这个shutdown指令改成一个别人不容易猜测的字符串。 例如修改如下: 注意:这个修改不影响shutdown.bat的执行。运行shutdown.bat一样可以关闭服务器。 参考:http://jakarta.apache.org/tomcat/faq/security.html#8005 以下皆可以参考:http://www.cnjsp.org/document/user/tuman/valve.html 14.配置http访问日志。Tomcat自带的能够记录的http访问日志已经很详细了 取消下面这段的注释: 然后修改为: pattern=\"combined\" 记录的日志内容更详细,fileDateFormat=\"yyyy-MM-dd.HH\",会让日志文件按小时进行滚卷, 比默认的按天滚卷要好些,尤其是访问量大的网站,可以考虑写成fileDateFormat=\"yyyy-MM-dd.HH.mm\",就会是每分钟一个日志文件了。 而且可以分别按Engine, Host, or Context,来记录自己的日志 详情参考: http://jakarta.apache.org/tomcat/tomcat-5.5-doc/config/valve.html http://jakarta.apache.org/tomcat/tomcat-5.0-doc/config/logger.html http://jakarta.apache.org/tomcat/tomcat-5.0-doc/config/host.html#Access%20Logs 而且还可以配合awstats来进行日志统计分析: http://www.chedong.com/tech/awstats.html http://blog.csdn.net/lizongbo/archive/2005/02/18/291929.aspx 15.限制ip,限制主机访问等。 如果想禁止指定的ip或者主机名来拒绝某些机器访问,或者指定某些机器来访问。 也支持分别按Engine, Host, or Context,进行以下配置: http://jakarta.apache.org/tomcat/tomcat-5.0-doc/config/context.html 16.发布webapp到网站根目录 1。直接复制到ROOT目录下。 2.因为无法创建无名字的xml文件,并且在xml文件里指定path也是无效的(tomcat靠文件名字来判断的), 因此必须在server.xml里写下面一段: algorithm=\"SHA-512\" sessionIdLength=\"40\"> 而且必须把ROOT目录删除掉,否则Tomcat还是优先部署ROOT目录为\"/\"。 17.在重新启动Tomcat的webapp的时候,禁止把session写入文件。 修改conf/web.xml 取消注释: 18.增强SessiionID的生成算法和长度。 (Tomcat默认算法是MD5,默认长度是16位。) //------------------------------------------------------------------------------------------------------------------------------------------ http://blog.csdn.net/dakuen/ 1.下载 http://www.eu.apache.org/dist/jakarta/tomcat-5/ className=\"org.apache.catalina.session.StandardManager\" algorithm=\"SHA-512\" sessionIdLength=\"40\"> 这里注意,在jakarta-tomcat-5.0.28.exe以前是有默认的admin模块,在jakarta-tomcat-5.5.9.exe则没有安装默认的admin模块,这时 http://127.0.0.1:8080/admin打开时则会出现 Tomcat's administration web application is no longer installed by default. Download and install the \"admin\" package to use it. 因此我们现在需要下载\"admin\"package 包 把 jakarta-tomcat-5.5.x.zip 与 jakarta-tomcat-5.5.x-compat.zip 与 jakarta-tomcat-5.5.x-admin.zip 三个文件解压在同一个目录中 (如果使用jdk1.4,才需要compat.zip用jdk1.5就可以免了这个。) 2.修改jakarta-tomcat-5.5.x\\conf\omcat-users.xml. 添加管理员账号lizongbo,密码为lizongbopass. 新xml如下: 有时在%CATALINA_HOME%\\server\\webapps\\admin\\WEB-INF\\web.xml里面也要做些修改 The role that is required to log in to the Administration Application Server Configuration Form-Based Authentication 无论是 Authetication ( 身份验证 还是 Authorization ( 权限管控 都只有设置相关的 admin ROLE, 当你想要新增或修改相关的 AA, 就必须修改这一个文件, 来符合你的环境. 3.修改jakarta-tomcat-5.5.x\\conf\\server.xml来解决编码问题。 ( 给 Connector 添 加 URIEncoding 参 数 , 参 考 http://blog.csdn.net/darkxie/archive/2004/10/25/TOMCATAPP.aspx) (可以设置成GB18030) compression=\"on\" compressionMinSize=\"2048\" noCompressionUserAgents=\"gozilla, traviata\" compressableMimeType=\"text/html,text/xml\"/> 4.启用支持gzip压缩. ( http://www.linuxaid.com.cn/forum/showdoc.jsp?l=1&i=81169) redirectPort=\"8443\" protocol=\"AJP/1.3\" disableUploadTimeout=\"true\" 添加下列属性 compression=\"on\" compressionMinSize=\"2048\" noCompressionUserAgents=\"gozilla, traviata\" compressableMimeType=\"text/html,text/xml\" 5.设置虚拟主机。 在jakarta-tomcat-5.5.x\\下建立文件夹vhost\\www.mydomain.com。 然后修改jakarta-tomcat-5.5.x\\conf\\server.xml appBase=\"vhost/www.mydomain.com\" name=\" http://www.mydomain.com/\"> 6.添加数据库驱动,更新mail.jar和actiovation.jar 复 制 mysql-connector-java-3.0.16-ga-bin.jar,pg74.215.jdbc3.jar 到 jakarta-tomcat-5.5.x\\common\\lib\\ 还有javamail 1.3.2的mail.jar,jaf-1_0_2的 activation.jar msSQl 2000 JDBC sp3,msbase.jar,msutil,jar,mssqlserver.jar 7.配置SSL 参考 http://jakarta.apache.org/tomcat/tomcat-5.5-doc/ssl-howto.html D:\\j2sdk1.4.2_06\\bin>%JAVA_HOME%\\bin\\keytool -genkey -alias tomcat -keyalg RSA 输入keystore密码: lizongbossl 您的名字与姓氏是什么? [tomcat5.5.x]: tomcat5.5.x 您的组织单位名称是什么? [jakarta]: jakarta 您的组织名称是什么? [apache]: apache 您所在的城市或区域名称是什么? [hzcity]: hzcity 您所在的州或省份名称是什么? [gdp]: gdp 该单位的两字母国家代码是什么 [CN]: CN CN=tomcat5.5.x, OU=jakarta, O=apache, L=hzcity, ST=gdp, C=CN 正确吗? [否]: y 输入 (如果和 keystore 密码相同,按回车): (必须密码一致,因此直接回车) 然后再把userhome(例如:C:\\Documents and Settings\\lizongbo\\)下的.keystore复制到 tomcat的conf\\目录下。 (例如:D:\\jakarta-tomcat-5.5.x\\conf\\.keystore 配置jakarta-tomcat-5.5.x\\conf\\server.xml 加上 keystorePass=\"lizongbossl\"> 修改jakarta-tomcat-5.5.x\\conf\\web.xml,把listing设置为false 9.指定了自己的javaEncoding ( 参 考 http://gceclub.sun.com.cn/staticcontent/html/sunone/app7/app7-dg-webapp/ch6/ch6-4.html 10.添加rar,iso等的mime-type映射 避免在浏览器里直接打开。 11.添加welcome-file-list,并调整顺序。 发表于 @ 2005年12月01日 11:43 AM | 评论 (0) Tomcat配置技巧Top 10 Tomcat配置技巧Top 10 需要做的就是:按照你的需求配置Tomcat,只要你正确配置,Tomcat一般都能适合你的要求。下面是一系列关于Tomcat的配置技巧,这些技巧源自于我的书:《Tomcat权威指南》,希望对你有所帮助。 Jason Brittain 1. 配置系统管理(Admin Web Application) 大多数商业化的J2EE服务器都提供一个功能强大的管理界面,且大都采用易于理解的Web应用界面。Tomcat按照自己的方式,同样提供一个成熟的管理工具,并且丝毫不逊于那些商业化的竞争对手。Tomcat的Admin Web Application最初在4.1版本时出现,当时的功能包括管理context、data source、user和group等。当然也可以管理像初始化参数,user、group、role的多种数据库管理等。在后续的版本中,这些功能将得到很大的扩展,但现有的功能已经非常实用了。 Admin Web Application 被 定 义 在 自 动 部 署 文 件 : CATALINA_BASE/webapps/admin.xml 。 (译者注:CATALINA_BASE即tomcat安装目录下的server目录) 你必须编辑这个文件,以确定Context中的docBase参数是绝对路径。也就是说,CATALINA_BASE/webapps/admin.xml 的路径是绝对路径。作为另外一种选择,你也可以删除这个自动部署文件,而在server.xml文件中建立一个Admin Web Application的context,效果是一样的。你不能管理Admin Web Application这个应用,换而言之,除了删除CATALINA_BASE/webapps/admin.xml ,你可能什么都做不了。 如果你使用UserDatabaseRealm(默认),你将需要添加一个user以及一个role到CATALINA_BASE/conf/tomcat-users.xml 文件中。你编辑这个文件,添加一个名叫“admin”的role 到该文件中,如下: <role name=\"admin\"/> 你同样需要有一个用户,并且这个用户的角色是“admin”。象存在的用户那样,添加一个用户(改变密码使其更加安全): <user name=\"admin\" password=\"deep_dark_secret\" roles=\"admin\"/> 当你完成这些步骤后,请重新启动Tomcat,访问http://localhost:8080/admin,你将看到一个登录界面。Admin Web Application采用基于容器管理的安全机制,并采用了Jakarta Struts框架。一旦你作为“admin”角色的用户登录管理界面,你将能够使用这个管理界面配置Tomcat。 2.配置应用管理(Manager Web Application) Manager Web Application让你通过一个比Admin Web Application更为简单的用户界面,执行一些简单的Web应用任务。 Manager Web Application被被定义在一个自动部署文件中: CATALINA_BASE/webapps/manager.xml 。 你必须编辑这个文件,以确保context的docBase参数是绝对路径,也就是说CATALINA_HOME/server/webapps/manager的绝对路径。 (译者注:CATALINA_HOME即tomcat安装目录) 如果你使用的是UserDatabaseRealm,那么你需要添加一个角色和一个用户到CATALINA_BASE/conf/tomcat-users.xml文件中。接下来,编辑这个文件,添加一个名为“manager”的角色到该文件中: <role name=”manager”> 你同样需要有一个角色为“manager”的用户。像已经存在的用户那样,添加一个新用户(改变密码使其更加安全): <user name=\"manager\" password=\"deep_dark_secret\" roles=\"manager\"/> 然后重新启动Tomcat,访问http://localhost/manager/list,将看到一个很朴素的文本型管理界面,或者访问http://localhost/manager/html/list,将看到一个HMTL的管理界面。不管是哪种方式都说明你的Manager Web Application现在已经启动了。 Manager application让你可以在没有系统管理特权的基础上,安装新的Web应用,以用于测试。如果我们有一个新的web应用位于/home/user/hello下在,并且想把它安装到 /hello下,为了测试这个应用,我们可以这么做,在第一个文件框中输入“/hello”(作为访问时的path),在第二个文本框中输入“file:/home/user/hello”(作为Config URL)。 Manager application还允许你停止、重新启动、移除以及重新部署一个web应用。停止一个应用使其无法被访问,当有用户尝试访问这个被停止的应用时,将看到一个503的错误??“503 - This application is not currently available”。 移除一个web应用,只是指从Tomcat的运行拷贝中删除了该应用,如果你重新启动Tomcat,被删除的应用将再次出现(也就是说,移除并不是指从硬盘上删除)。 3.部署一个web应用 有两个办法可以在系统中部署web服务。 1> 拷贝你的WAR文件或者你的web应用文件夹(包括该web的所有内容)到$CATALINA_BASE/webapps目录下。 2> 为你的web服务建立一个只包括context内容的XML片断文件,并把该文件放到$CATALINA_BASE/webapps目录下。这个web应用本身可以存储在硬盘上的任何地方。 如果你有一个WAR文件,你若想部署它,则只需要把该文件简单的拷贝到CATALINA_BASE/webapps目录下即可,文件必须以“.war”作为扩展名。一旦Tomcat监听到这个文件,它将(缺省的)解开该文件包作为一个子目录,并以WAR文件的文件名作为子目录的名字。接下来,Tomcat将在内存中建立一个context,就好象你在server.xml文件里建立一样。当然,其他必需的内容,将从server.xml中的DefaultContext获得。 部署web应用的另一种方式是写一个Context XML片断文件,然后把该文件拷贝到CATALINA_BASE/webapps目录下。一个Context片断并非一个完整的XML文件,而只是一个context元素,以及对该应用的相应描述。这种片断文件就像是从server.xml中切取出来的context元素一样,所以这种片断被命名为“context片断”。 举个例子,如果我们想部署一个名叫MyWebApp.war的应用,该应用使用realm作为访问控制方式,我们可以使用下面这个片断: <!-- Context fragment for deploying MyWebApp.war --> <Context path=\"/demo\" docBase=\"webapps/MyWebApp.war\" debug=\"0\" privileged=\"true\"> <Realm className=\"org.apache.catalina.realm.UserDatabaseRealm\" resourceName=\"UserDatabase\"/> </Context> 把该片断命名为“MyWebApp.xml”,然后拷贝到CATALINA_BASE/webapps目录下。 这种context片断提供了一种便利的方法来部署web应用,你不需要编辑server.xml,除非你想改变缺省的部署特性,安装一个新的web应用时不需要重启动Tomcat。 4.配置虚拟主机(Virtual Hosts) 关于server.xml中“Host”这个元素,只有在你设置虚拟主机的才需要修改。虚拟主机是一种在一个web服务器上服务多个域名的机制,对每个域名而言,都好象独享了整个主机。实际上, 大多数的小型商务网站都是采用虚拟主机实现的,这主要是因为虚拟主机能直接连接到Internet并提供相应的带宽,以保障合理的访问响应速度,另外虚拟主机还能提供一个稳定的固定IP。 基于名字的虚拟主机可以被建立在任何web服务器上,建立的方法就是通过在域名服务器(DNS)上建立IP地址的别名,并且告诉web服务器把去往不同域名的请求分发到相应的网页目录。因为这篇文章主要是讲Tomcat,我们不准备介绍在各种操作系统上设置DNS的方法,如果你在这方面需要帮助,请参考《DNS and Bind》一书,作者是Paul Albitz and Cricket Liu (O'Reilly)。为了示范方便,我将使用一个静态的主机文件,因为这是测试别名最简单的方法。 在Tomcat中使用虚拟主机,你需要设置DNS或主机数据。为了测试,为本地IP设置一个IP别名就足够了,接下来,你需要在server.xml中添加几行内容,如下: <Server port=\"8005\" shutdown=\"SHUTDOWN\" debug=\"0\"> <Service name=\"Tomcat-Standalone\"> <Connector className=\"org.apache.coyote.tomcat4.CoyoteConnector\" port=\"8080\" minProcessors=\"5\" maxProcessors=\"75\" enableLookups=\"true\" redirectPort=\"8443\"/> <Connector className=\"org.apache.coyote.tomcat4.CoyoteConnector\" port=\"8443\" minProcessors=\"5\" maxProcessors=\"75\" acceptCount=\"10\" debug=\"0\" scheme=\"https\" secure=\"true\"/> <Factory className=\"org.apache.coyote.tomcat4.CoyoteServerSocketFactory\" clientAuth=\"false\" protocol=\"TLS\" /> </Connector> <Engine name=\"Standalone\" defaultHost=\"localhost\" debug=\"0\"> <!-- This Host is the default Host --> <Host name=\"localhost\" debug=\"0\" appBase=\"webapps\" unpackWARs=\"true\" autoDeploy=\"true\"> <Context path=\"\" docBase=\"ROOT\" debug=\"0\"/> <Context path=\"/orders\" docBase=\"/home/ian/orders\" debug=\"0\" reloadable=\"true\" crossContext=\"true\"> </Context> </Host> <!-- This Host is the first \"Virtual Host\": http://www.example.com/ --> <Host name=\"www.example.com\" appBase=\"/home/example/webapp\"> <Context path=\"\" docBase=\".\"/> </Host> </Engine> </Service> </Server> Tomcat的server.xml文件,在初始状态下,只包括一个虚拟主机,但是它容易被扩充到支持多个虚拟主机。在前面的例子中展示的是一个简单的server.xml版本,其中粗体部分就是 用于添加一个虚拟主机。每一个Host元素必须包括一个或多个context元素,所包含的context元素中必须有一个是默认的context,这个默认的context的显示路径应该为空(例如,path=””)。 5.配置基础验证(Basic Authentication) 容器管理验证方法控制着当用户访问受保护的web应用资源时,如何进行用户的身份鉴别。当一个web应用使用了Basic Authentication(BASIC参数在web.xml文件中auto-method元素中设置),而有用户访问受保护的web应用时,Tomcat将通过HTTP Basic Authentication方式,弹出一个对话框,要求用户输入用户名和密码。在这种验证方法中,所有密码将被以64位的编码方式在网络上传输。 注意:使用Basic Authentication通过被认为是不安全的,因为它没有强健的加密方法,除非在客户端和服务器端都使用HTTPS或者其他密码加密码方式(比如,在一个虚拟私人网络中)。若没有额外的加密方法,网络管理员将能够截获(或滥用)用户的密码。但是,如果你是刚开始使用Tomcat,或者你想在你的web应用中测试一下基于容器的安全管理,Basic Authentication还是非常易于设置和使用的。只需要添加<security-constraint>和<login-config>两个元素到你的后重新启动Tomcat。 下面例子中的web.xml摘自一个俱乐部会员网站系统,该系统中只有member目录被保护起来,并使用Basic Authentication进行身份验证。请注意,这种方式将有效的代替Apache web服务器中的.htaccess文件。 <!-- Define the Members-only area, by defining a \"Security Constraint\" on this Application, and mapping it to the subdirectory (URL) that we want to restrict. --> <security-constraint> <web-resource-collection> <web-resource-name> Entire Application </web-resource-name> <url-pattern>/members/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>member</role-name> </auth-constraint> </security-constraint> <!-- Define the Login Configuration for this Application --> <login-config> <auth-method>BASIC</auth-method> web 应用的 web.xml 文件中,并且在 CATALINA_BASE/conf/tomcat-users.xml 文件中添加适当的<role>和<user>即可,然 <realm-name>My Club Members-only Area</realm-name> </login-config> 6.配置单点登录(Single Sign-On) 一旦你设置了realm和验证的方法,你就需要进行实际的用户登录处理。一般说来,对用户而言登录系统是一件很麻烦的事情,你必须尽量减少用户登录验证的次数。作为缺省的情况,当用户第一次请求受保护的资源时,每一个web应用都会要求用户登录。如果你运行了多个web应用,并且每个应用都需要进行单独的用户验证,那这看起来就有点像你在与你的用户搏斗。用户们不知道怎样才能把多个分离的应用整合成一个单独的系统,所有他们也就不知道他们需要访问多少个不同的应用,只是很迷惑,为什么总要不停的登录。 Tomcat 4的“single sign-on”特性允许用户在访问同一虚拟主机下所有web应用时,只需登录一次。为了使用这个功能,你只需要在Host上添加一个SingleSignOn Valve元素即可,如下所示: <Valve className=\"org.apache.catalina.authenticator.SingleSignOn\" debug=\"0\"/> 在Tomcat初始安装后,server.xml的注释里面包括SingleSignOn Valve配置的例子,你只需要去掉注释,即可使用。那么,任何用户只要登录过一个应用,则对于同一虚拟主机下的所有应用同样有效。 使用single sign-on valve有一些重要的限制: 1> value必须被配置和嵌套在相同的Host元素里,并且所有需要进行单点验证的web应用(必须通过context元素定义)都位于该Host下。 2> 包括共享用户信息的realm必须被设置在同一级Host中或者嵌套之外。 3> 不能被context中的realm覆盖。 4> 使用单点登录的web应用最好使用一个Tomcat的内置的验证方式(被定义在web.xml中的<auth-method>中),这比自定义的验证方式强,Tomcat内置的的验证方式包括basic、digest、form和client-cert。 5> 如果你使用单点登录,还希望集成一个第三方的web应用到你的网站中来,并且这个新的web应用使用它自己的验证方式,而不使用容器管理安全,那你基本上就没招了。你的用户每次登录原来所有应用时需要登录一次,并且在请求新的第三方应用时还得再登录一次。当然,如果你拥有这个第三方web应用的源码,而你又是一个程序员,你可以修改它,但那恐怕也不容易做。 6> 单点登录需要使用cookies。 7.配置用户定制目录(Customized User Directores) 一些站点允许个别用户在服务器上发布网页。例如,一所大学的学院可能想给每一位学生一个公共区域,或者是一个ISP希望给一些web空间给他的客户,但这又不是虚拟主机。在这种情况下,一个典型的方法就是在用户名前面加一个特殊字符(~),作为每位用户的网站,比如: http://www.cs.myuniversity.edu/~username http://members.mybigisp.com/~username Tomcat提供两种方法在主机上映射这些个人网站,主要使用一对特殊的Listener元素。Listener的className属性应该是org.apache.catalina.startup.UserConfig,userClass属性应该是几个映射类之一。如果你的系统是Unix,它将有一个标准的/etc/passwd文件,该文件中的帐号能够被运行中的Tomcat很容易的读取,该文件指定了用户的主目录,使用PasswdUserDatabase 映射类。 <Listener className=\"org.apache.catalina.startup.UserConfig\" directoryName=\"public_html\" userClass=\"org.apache.catalina.startup.PasswdUserDatabase\"/> web 文件需要放置在像/home/users/ian/public_html 或者 /users/jbrittain/public_html一样的目录下面。当然你也可以改变public_html 到其他任何子目录下。 实际上,这个用户目录根本不一定需要位于用户主目录下里面。如果你没有一个密码文件,但你又想把一个用户名映射到公共的像/home一样目录的子目录里面,则可以使用HomesUserDatabase类。 <Listener className=\"org.apache.catalina.startup.UserConfig\" directoryName=\"public_html\" homeBase=\"/home\" userClass=\"org.apache.catalina.startup.HomesUserDatabase\"/> 这样一来,web 文件就可以位于像/home/ian/public_html 或者 /home/jasonb/public_html一样的目录下。这种形式对Windows而言更加有利,你可以使用一个像c:\\home这样的目录。 这些Listener元素,如果出现,则必须在Host元素里面,而不能在context元素里面,因为它们都用应用于Host本身。 8.在Tomcat中使用CGI脚本 Tomcat主要是作为Servlet/JSP容器,但它也有许多传统web服务器的性能。支持通用网关接口(Common Gateway Interface,即CGI)就是其中之一,CGI提供一组方法在响应浏览器请求时运行一些扩展程序。CGI之所以被称为通用,是因为它能在大多数程序或脚本中被调用,包括:Perl,Python,awk,Unix shell scripting等,甚至包括Java。当然,你大概 不会把一个Java应用程序当作CGI来运行,毕竟这样太过原始。一般而言,开发Servlet总要比CGI具有更好的效率,因为当用户点击一个链接或一个按钮时,你不需要从操作系统层开始进行处理。 Tomcat包括一个可选的CGI Servlet,允许你运行遗留下来的CGI脚本。 为了使Tomcat能够运行CGI,你必须做如下几件事: 1. 把servlets-cgi.renametojar (在CATALINA_HOME/server/lib/目录下)改名为servlets-cgi.jar。处理CGI的servlet应该位于Tomcat的CLASSPATH下。 2. 在Tomcat的CATALINA_BASE/conf/web.xml 文件中,把关于<servlet-name> CGI的那段的注释去掉(默认情况下,该段位于第241行)。 3. 同样,在Tomcat的CATALINA_BASE/conf/web.xml文件中,把关于对CGI进行映射的那段的注释去掉(默认情况下,该段位于第299行)。注意,这段内容指定了HTML链接到CGI脚本的访问方式。 4. 你可以把CGI脚本放置在WEB-INF/cgi 目录下(注意,WEB-INF是一个安全的地方,你可以把一些不想被用户看见或基于安全考虑不想暴露的文件放在此处),或者你也可以把CGI脚本放置在context下的其他目录下,并为CGI Servlet调整cgiPathPrefix初始化参数。这就指定的CGI Servlet的实际位置,且不能与上一步指定的URL重名。 5. 重新启动Tomcat,你的CGI就可以运行了。 在Tomcat中,CGI程序缺省放置在WEB-INF/cgi目录下,正如前面所提示的那样,WEB-INF目录受保护的,通过客户端的浏览器无法窥探到其中内容,所以对于放置含有密码或其他敏感信息的CGI脚本而言,这是一个非常好的地方。为了兼容其他服务器,尽管你也可以把CGI脚本保存在传统的/cgi-bin目录,但要知道,在这些目录中的文件有可能被网上好奇的冲浪者看到。另外,在Unix中,请确定运行Tomcat的用户有执行CGI脚本的权限。 9.改变Tomcat中的JSP编译器(JSP Compiler) 在Tomcat 4.1(或更高版本,大概),JSP的编译由包含在Tomcat里面的Ant程序控制器直接执行。这听起来有一点点奇怪,但这正是Ant有意为之的一部分,有一个API文档指导开发者在没有启动一个新的JVM的情况下,使用Ant。这是使用Ant进行Java开发的一大优势。另外,这也意味着你现在能够在Ant中使用任何javac支持的编译方式,这里有一个关于Apache Ant使用手册的javac page列表。使用起来是容易的,因为你只需要在<init-param> 元素中定义一个名字叫“compiler”,并且在value中有一个支持编译的编译器名字,示例如下: <servlet> <servlet-name>jsp</servlet-name> <servlet-class> org.apache.jasper.servlet.JspServlet </servlet-class> <init-param> <param-name>logVerbosityLevel</param-name> <param-value>WARNING</param-value> </init-param> <init-param> <param-name>compiler</param-name> <param-value>jikes</param-value> </init-param> <load-on-startup>3</load-on-startup> </servlet> 当然,给出的编译器必须已经安装在你的系统中,并且CLASSPATH可能需要设置,那处决于你选择的是何种编译器。 10.限制特定主机访问(Restricting Access to Specific Hosts) 有时,你可能想限制对Tomcat web应用的访问,比如,你希望只有你指定的主机或IP地址可以访问你的应用。这样一来,就只有那些指定的的客户端可以访问服务的内容了。为了实现这种效果,Tomcat提供了两个参数供你配置:RemoteHostValve 和RemoteAddrValve。 通过配置这两个参数,可以让你过滤来自请求的主机或IP地址,并允许或拒绝哪些主机/IP。与之类似的,在Apache的httpd文件里有对每个目录的允许/拒绝指定。 例如你可以把Admin Web application设置成只允许本地访问,设置如下: <Context path=\"/path/to/secret_files\" ...> <Valve className=\"org.apache.catalina.valves.RemoteAddrValve\" allow=\"127.0.0.1\" deny=\"\"/> </Context> 如果没有给出允许主机的指定,那么与拒绝主机匹配的主机就会被拒绝,除此之外的都是允许的。与之类似,如果没有给出拒绝主机的指定,那么与允许主机匹配的主机就会被允许,除此之外的都是拒绝的。 1. tomcat的部署方式 以下部署方式都是针对tomcat5.0以上版本。 1.1 Context descriptors Tomcat4中的Manager和Admin管理工具其实就是利用它来部署的。在Tomcat5中提出了Context descriptor这个概念,且为其配置了一个专有目录,而不像Tomcat4那样大杂烩一般地放置在$appBase目录下。Context descriptor是一个只包含Context元素的xml格式的部署文件,其中Context元素与server.xml中的Context元素配置相同。对于一个给定的主机,Context descriptor放置在$CATALINA_HOME/conf/[enginename]/[hostname]/ 目录下面。Tomcat5默认安装时,在$CATALINA_HOME/conf/Catalina/localhost目录中有admin.xml和manager.xml,是两个管理工具的部署描述符文件。而这两个文件在Tomcat4中是放置在$CATALINA_HOME/webapps目录下面的。 使用方法: (1) 在$CATALINA_HOME/conf/[enginename]/[hostname]/目录下新建xxx.xml文档 (2) 在xxx.xml文档中配置如下 注:docBase也可以设置为[eclipse的workplace]/[project]/webroot 1.2 静态部署 静态部署是指在Tomcat运行之前就把相关的Web应用程序放置到合适的目录,在Tomcat启动的时候自动来部署这些应用程序。 如果\"deployOnStartup\"属性值为true,那么在Tomcat启动时,在$appBase目录下的web应用程序将被自动部署。部署的过程如下: (1) Context元素声明的Web应用程序将被首先部署,这包括server.xml和context descriptor文件中的Context元素所指的应用程序; (2) 部署扩展目录形式的Web应用程序; (3) 部署WAR形式的Web应用程序; Tomcat5对于静态方式的部署的增强主要就是: 1、对于context descriptor方式的应用程序的部署。 2、如果扩展目录方式的应用程序对应有一个WAR文件,且WAR是更新过的,扩展目录将被自动删除,Web应用程序将被从WAR文件中重新部署。而在Tomcat4中,即使WAR文件已更新也无法被重新部署,仍然会使用旧的扩展目录方式的Web应用程序,除非你自己手动删除目录,而且还要重启Tomcat。 1.3 动态部署 动态部署是指在Tomcat已经运行以后在不重启服务器的情况下部署应用程序的方式。 如果虚拟主机的\"autoDeploy\"属性值为true,则主机会在需要的时候试图去部署和更新应用程序。这是由虚拟主机在后台运行的一个负责自动加载的处理线程来完成的,它的工作流程如下: 1、部署新放入$appBase目录的War方式的应用程序。 2、部署新放入$appBase目录的扩展目录方式的应用程序。 3、如果一个扩展目录方式的应用程序对应的War文件更新了,则删除此目录,从War文件中重新解开并部署。如果”unpackWARs”属性值为false,则不解开,从War文件中直接运行。(记住:不用自己删除扩展目录,也不用重启服务器) 4、如果应用程序的/WEB-INF/web.xml文件被改变,则重新部署这个应用。 5、如果应用程序对应的Context元素配置发生了改变,则重新部署这个应用。这包括server.xml或者上下文描述符文件中的Context元素。 6、如果$CATALINA_HOME/conf/[enginename]/[hostname]/目录下增加了上下文描述符文件,则重新部署这个应用。 看来Tomcat5在动态部署上花费了不少功夫,其中的亮点主要就是如果我们修改了web.xml、 server.xml配置文件,增加了上下文描述符文件,动态更新了War文件时都可以实现应用程序的自动部署和更新,而不用重新启动Tomcat服务器,在Tomcat4中都是必须重新启动服务器的,这是一个非常喜人的变化。 2. tomcat的配置方式 以下配置方式都是针对tomcat5.0以上版本。 2.1 server.xml元素详解 元素名 server service 属性 port shutdown name port 解释 指定一个端口,这个端口负责监听关闭tomcat的请求 指定向端口发送的命令字符串 指定service的名字 指定服务器端要创建的端口号,并在这个断口监听来自客户端的请求 服务器启动时创建的处理请求的线程数,最小空闲连接线程数,用于提高系统处理性能,默认值为10 最大可以创建的处理请求的线程数,最大连接线程数,即:并发处理的最大请求数,默认值为75 如果为true,则可以通过调用request.getRemoteHost()进行DNS查询来得到远程客户端的实际主机名,若为false则不进行DNS查询,而是返回其ip地址 表示当请求被传输保密或完整性保护的内容时,非SSL请求将会被重定向的端口. 指定当所有可以使用的处理请求的线程数都被使用时,可以放到处理队列中的请求数,超过这个数的请求将不予处理,应大于等于maxProcessors,默认值为100 minProcessors maxProcessors enableLookups Connector(表示客户端和service之间的连接) redirectPort acceptCount 网络连接超时,单位:毫秒。设置为0表示永不connectionTimeout 超时,这样设置有隐患的。通常可设置为30000毫秒。 表示该组件产生调试日志信息的详细级别, 数字越大,产生的日志信息越详细. 如果不指定, 该属性值将被设置为 (0). 但是调试信息是否出现在日志中,还进一步取决于log4j类别org.jboss.web.tomcat.tc5.Tomcat5的threshold 设置请求编码格式 Debug URIEncoding Engine(表示指定service中的请求处理机,接收和处理来自Connector的请求) defaultHost 指定缺省的处理请求的主机名,它至少与其中的一个host元素的name属性值是一样的 docBase Context(表示一个web应用程序,通常为WAR文件,关于WAR的具体信息见servlet规范) 应用程序的路径或者是WAR文件存放的路径 表示此web应用程序的url的前缀,这样请求的url为http://localhost:8080/path/**** 这个属性非常重要,如果为true,则tomcat会自动检测应用程序的/WEB-INF/lib 和/WEB-INF/classes目录的变化,自动装载新的应用程序,我们可以在不重起tomcat的情况下改变应用程序 指定主机名 应用程序基本目录,即存放应用程序的目录 如果为true,则tomcat会自动将WAR文件解压,否则不解压,直接从WAR文件中运行应用程序 指定logger使用的类名,此类必须实现org.apache.catalina.Logger 接口 指定log文件的前缀 指定log文件的后缀 如果为true,则log文件名中要加入时间,如下例:localhost_log.2001-10-04.txt 指定Realm使用的类名,此类必须实现org.apache.catalina.Realm接口 指定Valve使用的类名,如用org.apache.catalina.valves.AccessLogValve类可以记录应用程序的访问信息 指定log文件存放的位置 有两个值,common方式记录远程主机名或ip地址,用户名,日期,第一行请求的字符串,HTTP响应代码,发送的字节数。combined方式比common方式记录的值更多 path reloadable name host(表示一个虚拟主机) appBase unpackWARs className Logger(表示日志,调试和错误信息) prefix suffix timestamp Realm(表示存放用户名,密码及role的数据库) className Valve(功能与Logger差不多,其prefix和suffix属性解释和Logger 中的一样) className directory pattern 它代表整个容器,是Tomcat实例的顶层元素.由org.apache.catalina.Server接口来定义.它包含一个 1> className指定实现org.apache.catalina.Server接口的类.默认值为 org.apache.catalina.core.StandardServer 2> port指定Tomcat监听shutdown命令端口.终止服务器运行时,必须在Tomcat服务 器所在的机器上发出shutdown命令.该属性是必须的. 3> shutdown指定终止Tomcat服务器运行时,发给Tomcat服务器的shutdown监听端 口的字符串.该属性必须设置 该元素由org.apache.catalina.Service接口定义,它包含一个 第一个 org.apahce.catalina.core.StandardService 2> name定义Service的名字 每个Service元素只能有一个Engine元素.元素处理在同一个 1> className指定实现Engine接口的类,默认值为StandardEngine 2> defaultHost指定处理客户的默认主机名,在 义这一主机 3> name定义Engine的名字 在 它由Host接口定义.一个Engine元素可以包含多个 2> appBase指定虚拟主机的目录,可以指定绝对目录,也可以指定相对于 appBase下的文件,如果有新有web应用加入进来,会自运发布这个WEB应用 4> unpackWARs如果此项设置为true,表示把WEB应用的WAR文件先展开为开放目录结 构后再运行.如果设为false将直接运行为WAR文件 5> alias指定主机别名,可以指定多个别名 6> deployOnStartup如果此项设为true,表示Tomcat服务器启动时会自动发布 appBase目录下所有的Web应用.如果Web应用中的server.xml没有相应的 在 它由Context接口定义.是使用最频繁的元素.每个 2> path指定访问Web应用的URL入口,注意/myweb,而不是myweb了事 3> reloadable如果这个属性设为true, Tomcat服务器在运行状态下会监视在 WEB-INF/classes和Web-INF/lib目录CLASS文件的改运.如果监视到有class文件被更新,服务器自重新加载Web应用 4> cookies指定是否通过Cookies来支持Session,默认值为true 5> useNaming指定是否支持JNDI,默认值为了true 在 Connector元素 由Connector接口定义. 第一个Connector元素定义了一个HTTP Connector,它通过8080端口接收HTTP请求;第二个Connector元素定义了一个JD Connector,它通过8009端口接收由其它服务器转发过来的请求. Connector元素共用属性: 1> className指定实现Connector接口的类 2> enableLookups如果设为true,表示支持域名解析,可以把IP地址解析为主机 名.WEB应用中调用request.getRemoteHost方法返回客户机主机名.默认值为true 3> redirectPort指定转发端口.如果当前端口只支持non-SSL请求,在需要安全通信 的场命,将把客户请求转发至SSL的redirectPort端口 HttpConnector元素的属性 1> className实现Connector的类 2> port设定Tcp/IP端口,默认值为8080,如果把8080改成80,则只要输入 http://localhost即可,因为TCP/IP的默认端口是80 3> address如果服务器有二个以上ip地址,此属性可以设定端口监听的ip地址. 默认情况下,端口会监听服务器上所有的ip地址 4> bufferSize设定由端口创建的输入流的缓存大小.默认值为2048byte 5> protocol设定Http协议,默认值为HTTP/1.1 6> maxThreads设定在监听端口的线程的最大数目,这个值也决定了服务器可以 同时响应客户请求的最大数目.默认值为200 7> acceptCount设定在监听端口队列的最大客户请求数量,默认值为10.如果队 列已满,客户必须等待. 8> connectionTimeout定义建立客户连接超时的时间.如果为-1,表示不限制建 立客户连接的时间 JkConnector的属性 1> className实现Connector的类 2> port设定AJP端口号 3> protocol必须设定为AJP/1.3 2.2 如何加大tomcat连接数 在tomcat配置文件server.xml中的 tomcat4中的配置示例: 2.4解决tomcat内存不足异常的问题 1) 在通过startup.bat启动 修改Catalina.bat文件:在“rem Execute Java with the applicable properties”语句后添加“set CATALINA_OPTS= -Xms128m -Xmx768m”语句,重起tomcat服务,设置生效。 2) 利用windows的系统服务启动tomcat服务,即通过执行tomcat.exe,它读取注册表中的 值,而不是catalina.bat的设置.可通过如下两种方式来解决: ① 修改注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Apache Software Foundation\\Tomcat Service Manager\\Tomcat5\\Parameters\\JavaOptions 原值为 -Dcatalina.home=\"C:\\ApacheGroup\\Tomcat 5.0\" -Djava.endorsed.dirs=\"C:\\ApacheGroup\\Tomcat 5.0\\common\\endorsed\" -Xrs 加入 -Xms300m -Xmx350m 重起tomcat服务,设置生效 ② 进入tomcat客户端 设置 Initial memory pool 与 Maxinum memory pool两项,重起tomcat服务,设置生效。 3) windows 更改系统环境变量 加上JAVA_OPTS=-Xms64m -Xmx512m Linux 在{tomcat_home}/bin/catalina.sh的前面,加 set JAVA_OPTS='-Xms64 -Xmx512' 2.5如何添加默认访问页面 修改文件web.xml,在welcome-list里面添加index.wml作为默认的访问页面 2.7 解决通过admin发布时war包乱码问题 在tomcat配置文件server.xml中的 2.9 添加rar,iso等的mime-type映射避免在浏览器里直接打开 修改文件web.xml 2.10对html静态页面设置编码 修改文件web.xml 因篇幅问题不能全部显示,请点此查看更多更全内容