Tomcat是Apache 軟體基金會(Apache Software Foundation)的Jakarta 項目中的一個核心項目,由Apache、Sun 和其他一些公司及個人共同開發而成。由於有了Sun 的參與和支持,最新的Servlet 和JSP 規範總是能在Tomcat 中得到體現,Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 規範。因為Tomcat 技術先進、性能穩定,而且免費,因而深受Java 愛好者的喜愛並得到了部分軟體開發商的認可,成為目前比較流行的Web 套用伺服器。
Tomcat 伺服器是一個免費的開放原始碼的Web 套用伺服器,屬於輕量級套用伺服器,在中小型系統和並發訪問用戶不是很多的場合下被普遍使用,是開發和調試JSP 程式的首選。對於一個初學者來說,可以這樣認為,當在一台機器上配置好Apache 伺服器,可利用它回響HTML(標準通用標記語言下的一個套用)頁面的訪問請求。實際上Tomcat是Apache 伺服器的擴展,但運行時它是獨立運行的,所以當你運行tomcat 時,它實際上作為一個與Apache 獨立的進程單獨運行的。
訣竅是,當配置正確時,Apache 為HTML頁面服務,而Tomcat 實際上運行JSP 頁面和Servlet。另外,Tomcat和IIS等Web伺服器一樣,具有處理HTML頁面的功能,另外它還是一個Servlet和JSP容器,獨立的Servlet容器是Tomcat的默認模式。不過,Tomcat處理靜態HTML的能力不如Apache伺服器。目前Tomcat最新版本為9.0。
基本介紹
- 中文名:湯姆貓
- 外文名:Apache Tomcat
- 性質:Java Web伺服器
- 屬於:Apache 軟體基金會
- 最新版本:9.0
名稱由來,版本差異,最新版本,配置方法,十個技巧,配置系統管理,配置套用管理,部署一個套用,配置虛擬主機,配置基礎驗證,配置單點登錄,用戶定製目錄,使用CGI腳本,改變編譯器,限制主機訪問,目錄結構,安全啟動,
名稱由來
Tomcat最初是由Sun的軟體架構師詹姆斯·鄧肯·戴維森開發的。後來他幫助將其變為開源項目,並由Sun貢獻給Apache軟體基金會。由於大部分開源項目O'Reilly都會出一本相關的書,並且將其封面設計成某個動物的素描,因此他希望將此項目以一個動物的名字命名。因為他希望這種動物能夠自己照顧自己,最終,他將其命名為Tomcat(英語公貓或其他雄性貓科動物)。而O'Reilly出版的介紹Tomcat的書籍(ISBN 0-596-00318-8)[1]的封面也被設計成了一個公貓的形象。而Tomcat的Logo兼吉祥物也被設計為一隻公貓。
版本差異
Apache Tomcat 7.x
是目前的開發焦點。它在汲取了Tomcat 6.0.x優點的基礎上,實現了對於Servlet 3.0、JSP 2.2和EL 2.2等特性的支持。除此以外的改進列表如下:
· Web套用記憶體溢出偵測和預防
· 增強了管理程式和伺服器管理程式的安全性
· 一般 CSRF保護
· 支持web套用中的外部內容的直接引用
· 重構 (connectors, lifecycle)及很多核心代碼的全面梳理
Apache Tomcat 6.x
在汲取 Tomcat 5.5.x優點的基礎上,實現了Servlet 2.5和JSP 2.1等特性的支持。除此以外的改進列表如下:
· 記憶體使用最佳化
· 更大的IO容量
· 重構聚類
Apache Tomcat 5.x
Apache Tomcat 5.5.x 和Apache Tomcat 5.0.x 對於Servlet和JSP的支持是一樣的。大量底層代碼里的重大修改,帶來性能的提升、穩定性的提升及整體成本。詳請參照Apache Tomcat 5.5的更新日誌。
Apache Tomcat 5.0.x在Apache Tomcat 4.1的基礎上做了很多改動,包括:
· 性能最佳化和減少垃圾回收動作
· 重構程式部署,通過一個可選的獨立部署程式,允許在將一個web套用放進產品前驗證和編譯它
· 基於JMX的伺服器全面監視及web程式管理
· 提高Taglibs的支撐能力,包括改進的數據池和tag外掛程式
· 改進平台集成性,包括Windows和Unix
· 基於JMX的嵌入
· 增強的安全管理支撐
· 集成session集群
· 文檔擴充
最新版本
Servlet/JSP_ 規範版本 Apache Tomcat 版本。
---------------------------------------------
3.1/2.3____ 9.0.X
3.0/2.2____ 7.0.X
2.5/2.1____ 6.0.X
2.4/2.0____ 5.5.X
2.3/1.2____ 4.1.X
2.2/1.1____ 3.3.X
配置方法
啟動記憶體參數的配置
tomcat/bin/catalina.bat 如果是linux 就是 catalina.sh
在rem 的後面增加如下參數
set JAVA_OPTS= -Xms256m -Xmx256m -XX:MaxPermSize=64m
修改Tomcat的JDK目錄
打開tomcat/bin/catalina.bat
在最後一個rem後面增加
set JAVA_HOME=C:\Program Files\Java\jdk1.8.0
增加虛擬目錄
/tomcat/conf/server.xml
第一行是以前默認存在的,第二行是新增的
<Context path="" docBase="ROOT" debug="0" reloadable="true"></Context>
<Context path="/jsp/a" reloadable="true" docBase="E:\workplace\www.java2000. net\WebContent" />
使用默認配置的tomcat,另外虛擬目錄也可這設定:
<Context path="/test" docBase="webContent" reloadable="true"/>
因為默認情況下,tomcat啟動過程中配置虛擬目錄的時候會從 webapps目錄下查找webContent套用。
這樣配置好了,即使以後從一台伺服器移植到另一台伺服器,不做任何修改也能運行起來。
GET方式URL亂碼問題解決
打開 tomcat/conf/server.xml
查找下面這部分,在最後增加一段代碼就可以了。
<Connector port="80" maxHttpHeaderSize="8192"
.................
URIEncoding="UTF-8" useBodyEncodingForURI="true"
...............
/>
其中的UTF-8 請根據你的需要自己修改,比如GBK
虛擬主機配置檔案
tomcat/conf/server.xml
<!-- 默認的主機 -->
<Host name="localhost" appBase="webapps"
unpackWARs="true" autoDeploy="true"
xmlValidation="false" xmlNamespaceAware="false">
<Context path="" docBase="ROOT" debug="0" reloadable="true"></Context>
...
</host>
<!-- 以下是新增的虛擬主機 -->
<Host name="" appBase="webapps"
unpackWARs="true" autoDeploy="true"
xmlValidation="false" xmlNamespaceAware="false">
<Context path="" docBase="d:\" debug="0" reloadable="true"></Context>
<!-- 虛擬目錄 -->
<Context path="/count" docBase="d:\counter.java2000. net" debug="0" reloadable="true"></Context>
</Host>
<Host name="java2000. net" appBase="webapps"
unpackWARs="true" autoDeploy="true"
xmlValidation="false" xmlNamespaceAware="false">
<Context path="" docBase="d:\ " debug="0" reloadable="true"></Context>
<Context path="/count" docBase="d:\counter.java2000. net" debug="0" reloadable="true"></Context>
</Host>
數據源配置
比較複雜,各個版本都有所不同,請直接查看 http://java2000. net/p1906,包括tomcat5.0,tomcat5.5x,tomcat6.0的各個版本的配置方法。
更多關於Tomcat的使用,請看參考資料
十個技巧
配置系統管理
(Admin Web Application)
大多數商業化的JavaEE伺服器都提供一個功能強大的管理界面,且大都採用易於理解的Web套用界面。Tomcat按照自己的方式,同樣提供一個成熟的管理工具,並且絲毫不遜於那些商業化的競爭對手。Tomcat的Admin Web Application最初在4.1版本時出現,當時的功能包括管理context、data source、user和group等。當然也可以管理像初始化參數,user、group、role的多種資料庫管理等。在後續的版本中,這些功能將得 到很大的擴展,但現有的功能已經非常實用了。
Admin Web Application被定義在自動部署檔案:CATALINA_BASE/webapps/admin.xml 。
必須編輯這個檔案,以確定Context中的docBase參數是絕對路徑。也就是說, CATALINA_BASE/webapps/admin.xml 的路徑是絕對路徑。作為另外一種選擇,也可以刪除這個自動部署檔案,而在server.xml檔案中建立一個Admin Web Application的context,效果是一樣的。不能管理Admin Web Application這個套用,換而言之,除了刪除CATALINA_BASE/webapps/admin.xml ,可能什麼都做不了。
如果使用UserDatabaseRealm(默認),將需要添加一個user以及一個role到CATALINA_BASE/conf/tomcat-users.xml 檔案中。你編輯這個檔案,添加一個名叫“admin”的role 到該檔案中,如下:
<role name=“admin”/>
同樣需要有一個用戶,並且這個用戶的角色是“admin”。象存在的用戶那樣,添加一個用戶(改變密碼使其更加安全):
<user name=“admin” password=“deep_dark_secret” roles=“admin”/>
當完成這些步驟後,請重新啟動Tomcat,訪問http://localhost:8080/admin,將看到一個登錄界面。Admin Web Application採用基於容器管理的安全機制,並採用了Jakarta Struts框架。一旦作為“admin”角色的用戶登錄管理界面,將能夠使用這個管理界面配置Tomcat。
配置套用管理
Manager Web Application讓你通過一個比Admin Web Application更為簡單的用戶界面,執行一些簡單的Web套用任務。
Manager Web Application被定義在一個自動部署檔案中:
CATALINA_BASE/webapps/manager.xml 。
必須編輯這個檔案,以確保context的docBase參數是絕對路徑,也就是說CATALINA_HOME/server/webapps/manager的絕對路徑。
如果使用的是UserDatabaseRealm,那么需要添加一個角色和一個用戶到CATALINA_BASE/conf/tomcat-users.xml檔案中。接下來,編輯這個檔案,添加一個名為“manager”的角色到該檔案中:
<role name=“manager”>
同樣需要有一個角色為“manager”的用戶。像已經存在的用戶那樣,添加一個新用戶(改變密碼使其更加安全):
<user name=“manager” password=“deep_dark_secret” roles=“manager”/>
然後重新啟動Tomcat,訪問http://localhost/manager/list,將看到一個很樸素的文本型管理界面,或者訪問http: //localhost/manager/html/list,將看到一個HMTL的管理界面。不管是哪種方式都說明你的Manager Web Application現在已經啟動了。
Manager application可以在沒有系統管理特權的基礎上,安裝新的Web套用,以用於測試。如果我們有一個新的web套用位於 /home/user/hello下在,並且想把它安裝到 /hello下,為了測試這個套用,可以這么做,在第一個檔案框中輸入“/hello”(作為訪問時的path),在第二個文本框中輸入“file: /home/user/hello”(作為Config URL)。
Manager application還允許停止、重新啟動、移除以及重新部署一個web套用。停止一個套用使其無法被訪問,當有用戶嘗試訪問這個被停止的套用時,將 看到一個503的錯誤——“503 - This application is not currently available”。
移除一個web套用,只是指從Tomcat的運行拷貝中刪除了該套用,如果重新啟動Tomcat,被刪除的套用將再次出現(也就是說,移除並不是指從硬碟上刪除)。
部署一個套用
有兩個辦法可以在系統中部署web服務。
1> 拷貝WAR檔案或者web套用資料夾(包括該web的所有內容)到$CATALINA_BASE/webapps目錄下。
2> 為web服務建立一個只包括context內容的XML片斷檔案,並把該檔案放到$CATALINA_BASE/webapps目錄下。這個web套用本身可以存儲在硬碟上的任何地方。
如果有一個WAR檔案,想部署它,則只需要把該檔案簡單的拷貝到CATALINA_BASE/webapps目錄下即可,檔案必須以“.war”作 為擴展名。一旦Tomcat監聽到這個檔案,它將(預設的)解開該檔案包作為一個子目錄,並以WAR檔案的檔案名稱作為子目錄的名字。接下來,Tomcat 將在記憶體中建立一個context,就好象在server.xml檔案里建立一樣。當然,其他必需的內容,將從server.xml中的 DefaultContext獲得。
部署web套用的另一種方式是寫一個Context XML片斷檔案,然後把該檔案拷貝到CATALINA_BASE/webapps目錄下。一個Context片斷並非一個完整的XML檔案,而只是一個 context元素,以及對該套用的相應描述。這種片斷檔案就像是從server.xml中切取出來的context元素一樣,所以這種片斷被命名為 “context片斷”。
舉個例子,如果我們想部署一個名叫MyWebApp.war的套用,該套用使用realm作為訪問控制方式,我們可以使用下面這個片斷:
<!--
Context fragment for deploying MyWebApp.war
-->
<Context path=“/demo” docBase=“webapps/MyWebApp.war”
debug=“0” privileged=“true”>
<Realm className=“org.apache.catalina.realm.UserDatabaseRealm”
resourceName=“UserDatabase”/>
</Context>
把該片斷命名為“MyWebApp.xml”,然後拷貝到CATALINA_BASE/webapps目錄下。
這種context片斷提供了一種便利的方法來部署web套用,不需要編輯server.xml,除非想改變預設的部署特性,安裝一個新的web套用時不需要重啟動Tomcat。
配置虛擬主機
(Virtual Hosts)
關於server.xml中“Host”這個元素,只有在設定虛擬主機的才需要修改。虛擬主機是一種在一個web伺服器上服務多個域名的機制,對每個域 名而言,都好象獨享了整個主機。實際上,大多數的小型商務網站都是採用虛擬主機實現的,這主要是因為虛擬主機能直接連線到Internet並提供相應的帶 寬,以保障合理的訪問回響速度,另外虛擬主機還能提供一個穩定的固定IP。
基於名字的虛擬主機可以被建立在任何web伺服器上,建立的方法就是通過在域名伺服器(DNS)上建立IP位址的別名,並且告訴web伺服器把去往不同域 名的請求分發到相應的網頁目錄。
在Tomcat中使用虛擬主機,需要設定DNS或主機數據。為了測試,為本地IP設定一個IP別名就足夠了,接下來,你需要在server.xml中添加幾行內容,如下:
<Server port=“8005” shutdown=“SHUTDOWN” debug=“0”>
<Service name=“Tomcat-Standalone”>
<Connector className=“org.apache.coyote.tomcat4.CoyoteConnector”
port=“8080” minProcessors=“5” maxProcessors=“75”
enableLookups=“true” redirectPort=“8443”/>
<Connector className=“org.apache.coyote.tomcat4.CoyoteConnector”
port=“8443” minProcessors=“5” maxProcessors=“75”
acceptCount=“10” debug=“0” scheme=“https” secure=“true”/>
<Factory className=“org.apache.coyote.tomcat4.CoyoteServerSocketFactory”
clientAuth=“false” protocol=“TLS” />
</Connector>
<Engine name=“Standalone” defaultHost=“localhost” debug=“0”>
<!-- This Host is the default Host -->
<Host name=“localhost” debug=“0” appBase=“webapps”
unpackWARs=“true” autoDeploy=“true”>
<Context path=“” docBase=“ROOT” debug=“0”/>
<Context path=“/orders” docBase=“/home/ian/orders” debug=“0”
reloadable=“true” crossContext=“true”>
</Context>
</Host>
<!-- This Host is the first “Virtual Host”: -->
<Host name= appBase=“/home/example/webapp”>
<Context path=“” docBase=“.”/>
</Host>
</Engine>
</Service>
</Server>
Tomcat的server.xml檔案,在初始狀態下,只包括一個虛擬主機,但是它容易被擴充到支持多個虛擬主機。在前面的例子中展示的是一個簡單的 server.xml版本,其中粗體部分就是用於添加一個虛擬主機。每一個Host元素必須包括一個或多個context元素,所包含的context元 素中必須有一個是默認的context,這個默認的context的顯示路徑應該為空(例如,path=“”)。
配置基礎驗證
(Basic Authentication)
容器管理驗證方法控制著當用戶訪問受保護的web套用資源時,如何進行用戶的身份鑑別。當一個web套用使用了Basic Authentication(BASIC參數在web.xml檔案中auto-method元素中設定),而有用戶訪問受保護的web套用時, Tomcat將通過HTTP Basic Authentication方式,彈出一個對話框,要求用戶輸入用戶名和密碼。在這種驗證方法中,所有密碼將被以64位的編碼方式在網路上傳輸。
注意:使用Basic Authentication通常被認為是不安全的,因為它沒有強健的加密方法,除非在客戶端和伺服器端都使用HTTPS或者其他密碼加密碼方式(比如, 在一個虛擬私人網路中)。若沒有額外的加密方法,網路管理員將能夠截獲(或濫用)用戶的密碼。但是,如果是剛開始使用Tomcat,或者你想在你的 web套用中測試一下基於容器的安全管理,Basic Authentication還是非常易於設定和使用的。只需要添加<security-constraint>和<login- config>兩個元素到web套用的web.xml檔案中,並且在CATALINA_BASE/conf/tomcat-users.xml 檔案中添加適當的<role>和<user>即可,然後重新啟動Tomcat。
配置單點登錄
(Single Sign-On)
一旦設定了realm和驗證的方法,就需要進行實際的用戶登錄處理。一般說來,對用戶而言登錄系統是一件很麻煩的事情,必須儘量減少用戶登錄驗證的 次數。作為預設的情況,當用戶第一次請求受保護的資源時,每一個web套用都會要求用戶登錄。如果運行了多個web套用,並且每個套用都需要進行單獨的 用戶驗證,那這看起來就有點像在用戶搏鬥。用戶們不知道怎樣才能把多個分離的套用整合成一個單獨的系統,所有用戶也就不知道他們需要訪問多少個不 同的套用,只是很迷惑,為什麼總要不停的登錄。
Tomcat 4的“single sign-on”特性允許用戶在訪問同一虛擬主機下所有web套用時,只需登錄一次。為了使用這個功能,只需要在Host上添加一個SingleSignOn Valve元素即可,如下所示:
<Valve className=“org.apache.catalina.authenticator.SingleSignOn”
debug=“0”/>
在Tomcat初始安裝後,server.xml的注釋裡面包括SingleSignOn Valve配置的例子,只需要去掉注釋,即可使用。那么,任何用戶只要登錄過一個套用,則對於同一虛擬主機下的所有套用同樣有效。
使用single sign-on valve有一些重要的限制:
1> value必須被配置和嵌套在相同的Host元素里,並且所有需要進行單點驗證的web套用(必須通過context元素定義)都位於該Host下。
2> 包括共享用戶信息的realm必須被設定在同一級Host中或者嵌套之外。
3> 不能被context中的realm覆蓋。
4> 使用單點登錄的web套用最好使用一個Tomcat的內置的驗證方式(被定義在web.xml中的<auth-method>中),這比自定 義的驗證方式強,Tomcat內置的的驗證方式包括basic、digest、form和client-cert。
5> 如果你使用單點登錄,還希望集成一個第三方的web套用到你的網站中來,並且這個新的web套用使用它自己的驗證方式,而不使用容器管理安全,那你基本上 就沒招了。用戶每次登錄原來所有套用時需要登錄一次,並且在請求新的第三方套用時還得再登錄一次。
6> 單點登錄需要使用cookies。
用戶定製目錄
一些站點允許個別用戶在伺服器上發布網頁。例如,一所大學的學院可能想給每一位學生一個公共區域,或者是一個ISP希望給一些web空間給他的客戶,但這又不是虛擬主機。在這種情況下,一個典型的方法就是在用戶名前面加一個特殊字元(~),作為每位用戶的網站,比如:
提供兩種方法在主機上映射這些個人網站,主要使用一對特殊的Listener元素。Listener的className屬性應該是 org.apache.catalina.startup.UserConfig,userClass屬性應該是幾個映射類之一。如果電腦系統是 Unix,它將有一個標準的/etc/passwd檔案,該檔案中的帳號能夠被運行中的Tomcat很容易的讀取,該檔案指定了用戶的主目錄,使用 PasswdUserDatabase 映射類。
Tomcat
<Listener className=“org.apache.catalina.startup.UserConfig”
directoryName=“public_html”
userClass=“org.apache.catalina.startup.PasswdUserDatabase”/>
web檔案需要放置在像/home/users/ian/public_html 或者 /users/jbrittain/public_html一樣的目錄下面。當然你也可以改變public_html 到其他任何子目錄下。
實際上,這個用戶目錄根本不一定需要位於用戶主目錄下裡面。如果你沒有一個密碼檔案,但你又想把一個用戶名映射到公共的像/home一樣目錄的子目錄裡面,則可以使用HomesUserDatabase類。
<Listener className=“org.apache.catalina.startup.UserConfig”
directoryName=“public_html” homeBase=“/home”
userClass=“org.apache.catalina.startup.HomesUserDatabase”/>
這樣一來,web檔案就可以位於像/home/ian/public_html 或者 /home/jasonb/public_html一樣的目錄下。這種形式對Windows而言更加有利,你可以使用一個像c:\home這樣的目錄。
這些Listener元素,如果出現,則必須在Host元素裡面,而不能在context元素裡面,因為它們都用套用於Host本身。
使用CGI腳本
Tomcat主要是作為Servlet/JSP容器,但它也有許多傳統web伺服器的性能。支持通用網關接口(Common Gateway Interface,即CGI)就是其中之一,CGI提供一組方法在回響瀏覽器請求時運行一些擴展程式。CGI之所以被稱為通用,是因為它能在大多數程式 或腳本中被調用,包括:Perl,Python,awk,Unix shell scripting等,甚至包括Java。不會把一個Java應用程式當作CGI來運行,畢竟這樣太過原始。一般而言,開發Servlet總 要比CGI具有更好的效率,因為當用戶點擊一個連結或一個按鈕時,不需要從作業系統層開始進行處理。
Tomcat包括一個可選的CGI Servlet,允許你運行遺留下來的CGI腳本。
為了使Tomcat能夠運行CGI,必須做的幾件事:
1. 把servlets-cgi.renametojar (在CATALINA_HOME/server/lib/目錄下)改名為servlets-cgi.jar。處理CGI的servlet應該位於Tomcat的CLASSPATH下。
2. 在Tomcat的CATALINA_BASE/conf/web.xml 檔案中,把關於<servlet-name> CGI的那段的注釋去掉(默認情況下,該段位於第241行)。
3. 同樣,在Tomcat的CATALINA_BASE/conf/web.xml檔案中,把關於對CGI進行映射的那段的注釋去掉(默認情況下,該段位於第299行)。注意,這段內容指定了HTML連結到CGI腳本的訪問方式。
4. 可以把CGI腳本放置在WEB-INF/cgi 目錄下(注意,WEB-INF是一個安全的地方,你可以把一些不想被用戶看見或基於安全考慮不想暴露的檔案放在此處),或者也可以把CGI腳本放置在 context下的其他目錄下,並為CGI Servlet調整cgiPathPrefix初始化參數。這就指定的CGI Servlet的實際位置,且不能與上一步指定的URL重名。
5. 重新啟動Tomcat,你的CGI就可以運行了。
在Tomcat中,CGI程式預設放置在WEB-INF/cgi目錄下,正如前面所提示的那樣,WEB-INF目錄受保護的,通過客戶端的瀏覽器無法窺探 到其中內容,所以對於放置含有密碼或其他敏感信息的CGI腳本而言,這是一個非常好的地方。為了兼容其他伺服器,儘管你也可以把CGI腳本保存在傳統的 /cgi-bin目錄,但要知道,在這些目錄中的檔案有可能被網上好奇的衝浪者看到。另外,在Unix中,請確定運行Tomcat的用戶有執行CGI腳本 的許可權。
改變編譯器
在Tomcat 4.1(或更高版本,大概),JSP的編譯由包含在Tomcat裡面的Ant程式控制器直接執行。這聽起來有一點點奇怪,但這正是Ant有意為之的一部 分,有一個API文檔指導開發者在沒有啟動一個新的JVM的情況下,使用Ant。這是使用Ant進行Java開發的一大優勢。另外,這也意味著你現在能夠 在Ant中使用任何javac支持的編譯方式,這裡有一個關於Apache Ant使用手冊的javac page列表。使用起來是容易的,因為你只需要在<init-param> 元素中定義一個名字叫“compiler”,並且在value中有一個支持編譯的編譯器名字,示例如下:
<servlet>
<servlet-name>jsp</servlet-name>
<servlet-class>
org.apache.jasper.servlet.JspServlet
</servlet-class>
<init-param>
<param-name>logVerbosityLevel</param-name>
<param-value>WARNING</param-value>
</init-param>
<init-param>
<param-name>compiler</param-name>
<param-value>jikes</param-value>
</init-param>
<load-on-startup>3</load-on-startup>
</servlet>
當然,給出的編譯器必須已經安裝在你的系統中,並且CLASSPATH可能需要設定,那取決於你選擇的是何種編譯器。
限制主機訪問
有時,可能想限制對Tomcat web套用的訪問,比如,希望只有指定的主機或IP位址可以訪問套用。這樣一來,就只有那些指定的的客戶端可以訪問服務的內容了。為了實現這種效 果,Tomcat提供了兩個參數供你配置:RemoteHostValve 和RemoteAddrValve。
通過配置這兩個參數,可以讓你過濾來自請求的主機或IP位址,並允許或拒絕哪些主機/IP。與之類似的,在Apache的httpd檔案里有對每個目錄的允許/拒絕指定。
可以把Admin Web application設定成只允許本地訪問,設定如下:
<Context path=“/path/to/secret_files” …>
<Valve className=“org.apache.catalina.valves.RemoteAddrValve”
allow=“127.0.0.1” deny=“”/>
</Context>
如果沒有給出允許主機的指定,那么與拒絕主機匹配的主機就會被拒絕,除此之外的都是允許的。
目錄結構
/bin:存放windows或Linux平台上啟動和關閉Tomcat的腳本檔案
/conf:存放Tomcat伺服器的各種全局配置檔案,其中最重要的是server.xml和web.xml
/doc:存放Tomcat文檔
/server:包含三個子目錄:classes、lib和webapps
/server/lib:存放Tomcat伺服器所需的各種JAR檔案
/server/webapps:存放Tomcat自帶的兩個WEB套用admin套用和 manager套用
/common/lib:存放Tomcat伺服器以及所有web套用都可以訪問的jar檔案
/shared/lib:存放所有web套用都可以訪問的jar檔案(但是不能被Tomcat伺服器訪問)
/logs:存放Tomcat執行時的日誌檔案
/src:存放Tomcat的原始碼
/webapps:Tomcat的主要Web發布目錄,默認情況下把Web套用檔案放於此目錄
/work:存放JSP編譯後產生的class檔案
安全啟動
Tomcat是一個世界上廣泛使用的支持jsp和servlets的Web伺服器。它在java上運行時能夠很好地運行並支持Web套用部署。會因為設定不當,造成災難性的後果。在Tomcat默認安裝,Tomcat作為一個系統服務運行,如果沒有將其作為系統服務運行,幾乎所有Web伺服器管理員都是預設地將其以Administrator許可權運行。這兩種方式都允許Java運行時訪問Windows系統下任意資料夾中的任何檔案。預設情況下,Java運行時授予安全許可權。當 Tomcat以系統管理員身份或作為系統服務運行時,Java運行取得了系統用戶或系統管理員所具有的全部許可權。這樣一來,Java運行時就取得了所有資料夾中所有檔案的全部許可權。並且Servlets(JSP在運行過程中要轉換成Servlets)取得了同樣的許可權。所以Java代碼可以調用Java SDK中的檔案API、列出資料夾中的全部檔案、刪除任何檔案,最大的危險在於以系統許可權運行一個程式。當任一Servlets含有如下代碼:
b4ae04fd6dYsJkr5 Runtime rt = Runtime.getRuntime();
rt.exec(”c:\SomeDirectory\SomeUnsafePRogram.exe”)
其服務是以system許可權啟動。根據許可權最小安全原則,降低了腳本所獲取的操作本地系統許可權。此操作如下:
新建一個帳戶
1. 用”ITOMCAT_計算機名”建立一個普通用戶
2. 為其設定一個密碼
3. 保證”密碼永不過期”(PassWord Never Expires)被選中
修改Tomcat安裝資料夾的訪問許可權
1. 選定環境參數CATALINA_HOME或TOMCAT_HOME指向的Tomcat安裝資料夾。
2. 為”ITOMCAT_計算機名”用戶賦予讀、寫、執行的訪問許可權。
3. 為”ITOMCAT_計算機名”用戶賦予對WebApps資料夾的唯讀訪問許可權。
4. 如果某些Web應用程式需要寫訪問許可權,單獨為其授予對那個資料夾的寫訪問許可權。
Tomcat作為系統服務
1. 到”控制臺”,選擇”管理工具”,然後選擇”服務”。
2. 找到Tomcat:比如Apache Tomcat.exe等等,打開其”屬性”。
3. 選擇其”登錄”(Log)標籤。
4. 選擇”以…登錄”(Log ON Using)選項。
5. 鍵入新建的”ITOMCAT_計算機名”用戶作為用戶名。
6. 輸入密碼。
7. 重啟機器。
在DOS視窗下運行Tomcat步驟
1. 在”開始”按鈕的”運行”框中鍵入CMD以打開一個DOS視窗。
2. 鍵入”RunAs /user:ITOMCAT_計算機名 CMD.exe”命令。
3. 在詢問”ITOMCAT_計算機名”用戶的密碼時輸入設定的密碼。
4. 這將打開一個新的DOS視窗。
5. 在新開的DOS視窗中,轉換到Tomcat的bin資料夾內。
6. 鍵入”catalina run”命令。
7. 關閉第一個DOS視窗。
設定一下程式
CMD.EXE NET.EXE ATTRIB.EXE At.EXE NET1.EXE FTP.EXE TELNET.EXE COMMAND. COM CAcls.EXEnetstat.exe;system 全部許可權 ,其它用戶無許可權。
