tomcat配置技巧(转载) 编者按:现在开发Java Web应用,建立和部署Web内容是一件很简单的工作。使用Jakarta Tomcat作为Servlet和JSP容器的人已经遍及全世界。Tomc
2024年03月07日
编者按:现在开发Java Web应用,建立和部署Web内容是一件很简单的工作。使用Jakarta Tomcat作为Servlet和JSP容器的人已经遍及全世界。Tomcat具有免费、跨平台等消防特性,并且更新得很快,现在非常的流行。你需要配置要做的就是:按照你的需求Tomcat,只要你正确配置,Tomcat一般适合你的要求。下面是一系列关于Tomcat的配置技巧,这些技巧源自于我的书:《Tomcat权威指南》,希望对你有所帮助。?贾森·布里顿
1.配置系统管理(Admin Web Application)
大多数商业化的J2EE服务器都提供了功能强大的管理界面,并且大都采用易于理解的Web应用界面。Tomcat遵循自己的方式,同样提供了成熟的管理工具,并且广播不逊色于那些商业化的竞争对手。Tomcat的Admin Web Application最初在4.1版本时出现,当时的功能包括管理上下文、数据源、用户和组等。当然也可以管理像初始化参数,用户、组、角色的多种数据库管理等。在后续的版本中,这些功能将得到很大的扩展,但现有的功能已经非常实用了。
管理Web应用程序在自动配置文件中定义:CATALINA_BASE/webapps/admin.xml。
(译者注:CATALINA_BASE即tomcat安装目录下的server目录)
你编辑这个文件,上下文中的docBase参数是绝对路径。其次,CATALINA_BASE/webapps/admin.xml的路径是绝对路径。一种选择,你也可以删除这个自动配置文件,而在server.xml文件中建立一个Admin Web Application的上下文,效果是一样的。你不能管理Admin Web Application这个应用,换而言之,除了删除CATALINA_BASE/webapps/admin.xml,你可能什么都做不了。
如果你使用UserDatabaseRealm(默认),你将需要添加一个用户以及一个角色到CATALINA_BASE/conf/tomcat-users.xml文件中。你编辑这个文件,添加一个名为“admin”的角色到该文件中,如下:
<role name="admin"/>
你同样需要有一个用户,并且这个用户的角色是“admin”。象存在的用户那样,添加一个用户(更改密码设置更加安全):
<user name="admin"password="deep_dark_secret"roles="admin"/>
当你完成这些步骤后,请重新启动Tomcat,访问http://localhost:8080/admin,您将看到一个登录界面。Admin Web Application采用了基于容器管理的安全机制,并采用了Jakarta Struts框架。一旦您作为“admin”角色的用户登录管理界面,您将能够使用这个管理配置界面Tomcat。
2.配置应用管理(Manager Web Application)
Manager Web应用程序让您通过一个比Admin Web应用程序更简单的用户界面,执行一些简单的Web应用任务。
Manager Web应用程序被定义在一个自动配置文件中:
CATALINA_BASE/webapps/manager.xml。
你必须编辑这个文件,以确保context的docBase参数是绝对路径,否则CATALINA_HOME/server/webapps/manager的绝对路径。
(译者注:CATALINA_HOME即tomcat安装目录)
如果你使用User的DatabaseRealm,那么你需要添加一个角色和一个用户到CATALINA_BASE/conf/tomcat-users.xml文件中。接下来,编辑这个文件,添加一个名为“manager”的角色到该文件中:<
role name=”manager”>
你需要有一个角色为“manager”的用户。像已经存在的用户那样,添加一个新用户(更改密码设置同样更加安全):
<user name="manager"password="deep_dark_secret"Roles="manager"/>
然后看到重新启动Tomcat,访问http://localhost/manager/list,将一个很朴素的文本型管理界面,或者访问http://localhost/manager/html/list,将会看到一个HMTL的管理界面。无论是哪种方式都说明你的Manager Web应用程序现在已经启动了。Manager
应用程序让你可以在没有系统管理特权的基础上,安装新的Web应用程序,以用于测试。如果我们有一个新的web应用位于/home/user/hello下,并且想把它安装到/hello下,为了测试这个应用,我们可以在第一个文件中输入“/hello”(作为访问时的路径),在第二个文本框中输入“file:
2>为你的web服务建立一个只包含上下文内容的XML片断文件,并把该文件放到$CATALINA_BASE/webapps目录下。这个web应用本身可以存储在硬盘上的任何位置。如果你有一个WAR
文件,你若想部署它,则只需将该文件简单的拷贝到CATALINA_BASE/webapps目录下即可,文件必须以“.war”作为扩展名。一旦Tomcat监听到这个文件,就会(包含的)解开该文件包作为一个子目录,并以WAR文件的文件名作为子目录的。接下来,Tomcat将在内存中建立一个上下文,就像你在server.xml文件里建立一样。当然,其他必需的内容,分散服务器.xml中的DefaultContext获得。
配置web应用的另一种方式是写一个Context XML片断文件,然后将该文件复制到CATALINA_BASE/webapps目录下。一个Context片断不是一个完整的XML文件,而只是一个上下文元素,以及应用的相应描述。这种片断文件就像是从server.xml中切提取来的上下文元素一样,所以这种片断被命名为“context片断”
。举个例子,如果我们想部署一个名叫MyWebApp.war的应用程序,该应用程序使用realm作为访问控制方式,我们可以使用下面这个片断:
<!--
用于部署MyWebApp.war的上下文片段
-->
<Context path="/demo"docBase="webapps/MyWebApp.war"
debug="0"privileged="true">
<Realm className="org.apache.catalina.realm.UserDatabaseRealm"
resourcesName="UserDatabase"/>
</Context>
把该片断命名为“MyWebApp.xml”,然后复制到CATALINA_BASE/webapps目录下。
这种上下文片断提供了一种方便的方法来部署web应用,你不需要编辑server.xml,除非你想改变它的配置功能,安装一个新的web应用时不需要重新配置启动Tomcat。
4.虚拟主机(Virtual Hosts)
关于server.xml中的“Host”这个要素,只有在你设置虚拟主机的时候才需要修改。虚拟主机是一种在一个Web服务器上服务多个域名的机制,对每个域名来说,都好象独享整个主机。实际上,大多数小型商务网站都是采用虚拟主机实现的,这主要是因为虚拟主机能够直接连接到Internet并提供相应的带宽,以保证合理的访问响应速度,另外的虚拟主机能够提供一个稳定的固定IP。基于名称的虚拟主机可以建立在
任何web服务器上,建立的方法就是通过在域名服务器(DNS)上建立IP地址的别名,并告诉web服务器把去往不同域名的请求分发到相应的网页目录。因为这篇文章主要是讲Tomcat,我们不准备在各种介绍操作系统上设置DNS的方法,如果你在这方面需要帮助,请参考《DNS and Bind》一书,作者是Paul Albitz和Cricket Liu(OReilly)。为了示范方便,我将使用一个静态的主机文件,因为这是别名测试最简单的方法。
在Tomcat中使用虚拟主机,你需要设置DNS或主机数据。为了测试,为本地IP设置一个IP别名就足够了,接下来,你需要在server.xml中添加几行内容,如下:
<Server port="8005"shutdown="SHUTDOWN"debug="0">
<Service name="Tomcat-Standalone">
<Connector className="org.apache.coyote.tomcat4.CoyoteConnector"
port=“8080”minProcessors=“5”maxProcessors=“75”
enableLookups=“true”redirectPort=“8443”/>
<连接器类名=“org.apache.coyote.tomcat4.CoyoteConnector”
端口=“8443”minProcessors=“5“maxProcessors=“75”
acceptCount=“10”debug=“0”scheme=“https”secure=“true”/>
<Factory className=“org.apache.coyote.tomcat4.CoyoteServerSocketFactory”
clientAuth=“false”协议="TLS"/>
</Connector>
<Engine name="Standalone"defaultHost="localhost"debug="0">
<!--此主机是默认主机-->
<Host name="localhost"debug="0"appBase="webapps"
unpackWARs="true"autoDeploy="true">
<Context path=""docBase="ROOT"debug="0"/>
<Context path="/orders"docBase="/home/ian/orders"debug="0"
reloadable="true"crossContext="true">
</Context>
</Host>
<!--该主机是第一个“虚拟主机”:www.example.com-->
<主机名=“www.example.com”appBase=“/home/example/webapp”>
<上下文路径=“”docBase=“。”/></
主机></引擎>
</
服务>
</服务器>
Tomcat的server.xml文件,在初始状态下,只包括一个虚拟主机,它很容易被补充到支持多个虚拟主机。在前面的例子中展示的是一个简单的server.xml版本,其中粗体部分就是用于添加一个虚拟主机。每个主机元素必须包含一个或多个上下文元素,所包含的上下文元素中必须有一个是默认的上下文,这个默认上下文的显示路径应该为空(例如,path 5.
配置基础验证(Basic Authentication)
容器管理验证方法当用户访问受保护的web应用资源时,如何进行用户的身份识别。当一个web应用使用了Basic Authentication(BASIC在参数中)web.xml文件中auto-method元素中设置),而有用户访问受保护的web应用时,Tomcat将通过HTTP基本身份验证方式,弹出一个对话框,要求用户输入用户名和密码。在这种验证方法中,所有密码将被以64位的编码方式在网络上传输。
注意:使用基本身份验证通过被认为是不安全的,因为它没有强健的加密方法,除非在客户端和服务器端都使用HTTPS或者其他密码加密码方式(比如,在一个虚拟私人网络中)。如果没有额外的加密方法,网络管理员将能够截取(或破解)用户的密码。但是,如果你是刚开始使用Tomcat,或者你想在你的web应用中测试一下基于容器的安全管理,基本身份验证还是非常容易设置和使用的。只需要添加<security-constraint>和<login-config>两个元素到你的web应用的web.xml文件中,并且在CATALINA_BASE/conf/tomcat-users.xml文件中添加适当的<role>和<user>即可,然后重新启动Tomcat。
下面例子中的web.xml摘自一个俱乐部会员网站系统,该系统中只有member目录被保护起来,并使用Basic Authentication进行身份验证。请注意,这种方式将有效的代替Apache web服务器中的.htaccess文件。<!
--通过定义“安全约束”
来定义仅限会员的区域
”在此应用程序上,并将
其映射到我们要限制的子目录(URL)
。
-->
<security-constraint>
<web-resource-collection>
<web-resource-name>
整个应用程序
</web-resource-name>
<url-pattern>/members/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>member</role-name>
</auth-constraint>
</security-constraint>
<!--定义此应用程序的登录配置-->
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>我的俱乐部会员专区</realm-name>
</login-config>
6.配置单点登录(单点登录)
一旦你设置了领域和方法,你就需要进行实际的用户登录处理。一般来说,对于用户登录系统来说是一件很麻烦的事情,你必须尽量减少用户登录验证的次数。省的情况下,当用户第一次请求受保护的资源时,每个Web应用程序都会要求用户登录。如果您运行了多个Web应用程序,并且每个应用程序都需要进行单独的用户验证,那么看起来就像你在和你的用户搏斗一样。用户不知道如何把多个分离的应用整合成一个单独的系统,他们也不知道他们需要访问多少个不同的应用,只是很迷惑,为什么总要不间断的登录。Tomcat
4的“单点登录”特性允许用户在访问同一个虚拟主机下的所有Web应用时,只需登录一次。要使用此功能,您只需要在主机上添加一个SingleSignOn Valve元素即可,如下所示:
<Valve className="org.apache.catalina.authenticator.SingleSignOn"
debug="0"/>
在Tomcat初始安装后,server.
4>使用单点登录的web应用最好使用Tomcat内置的验证方式(在web.xml中的<auth-method>中定义),这比自定义的验证方式强,Tomcat内置的验证方式它的方式包括basic、digest、form和client-cert。
5>如果你使用单点登录,还希望集成一个第三方的web应用到你的网站中,并且这个新的web应用使用自己的验证方式,如果不使用容器管理安全,那你基本上就不好招了。你的用户每次登录原来所有应用时都需要登录一次,并且在请求新的第三方应用时还得再登录一次。,如果你拥有当然这个第三方web应用的源码,而你又是一个程序员,你可以修改它,但恐怕也不容易做。6
>单点登录需要使用cookies。
7.配置用户定制目录(Customized User Directores)
站点允许个别用户在服务器上发布网页。例如,一所大学的学院可能想给每位学生一个公共区域,或者是一个ISP希望给一些网络空间给他的客户,但又不是虚拟主机。情况下,一个典型的方法就是在用户名前面加一个特殊字符(~),这样作为用户的网站,比如:http:
//www.cs.myuniversity.edu/~
用户名http://members.mybigisp.com/~username
Tomcat在上映射这些个人网站时提供两种方法,主要使用一对特殊的监听器元素。监听器的className属性应该是org.apache.catalina.startup.UserConfig,userClass属性应该是几个这个映射类之一。如果你的系统是Unix,会有一个标准的/etc/passwd文件,该文件中的帐号能够被运行中的Tomcat很容易的读取,该文件指定了用户的主目录,使用PasswdUserDatabase映射类。
<Listener className="org.apache.catalina.startup.UserConfig"
directoryName="public_html"
userClass="org.apache.catalina.startup.PasswdUserDatabase"/>
web文件放置需要在像/home/users/ian/public_html或者/users/jbrittain/public_html一样的目录下面。当然你也可以改变public_html到其他任何子目录下。
实际上,这个用户目录根本不一定需要位于用户主目录下里面。如果你没有一个密码文件,但你又想把一个用户名映射到公共的像/home一样目录的子目录里面,则可以使用HomesUserDatabase类。
<Listener className="org.apache.catalina.startup.UserConfig"
directoryName="public_html"homeBase="/home"
userClass="org.apache.catalina.startup.HomesUserDatabase"/>
这样一来,web文件就可以定位像/home/ian/public_html或者/home/jasonb/public_html一样的目录下这种形式对Windows来说比较有利,你可以使用一个像c:home这样的目录。
这些Listener元素,如果出现,则必须在Host元素里面,而不能在context元素里面,因为它们都具有评价作用
8.在Tomcat中使用CGI脚本
Tomcat主要是作为Servlet/JSP容器,但它也有许多传统web服务器的性能。支持通用网关接口(Common Gateway Interface,即CGI)就是其中之一,CGI提供一组方法在响应浏览器请求时运行一些扩展程序。CGI之所以被称为通用,是因为它能够在大多数程序或脚本中被调用,包括:Perl,Python,awk,Unix shell scripting等,甚至包括Java。当然,你可能不会把一个Java应用程序让CGI来运行,毕竟这样太原始了。一般而言,开发Servlet总不可能有更好的效率,因为当用户点击一个链接或一个按钮时这时,你不需要从操作系统层开始进行处理。
Tomcat包括一个可选的CGI Servlet,允许你运行继承下来的CGI脚本。
为了使Tomcat能够运行CGI,你必须做以下几件事:
1.把servlets-cgi.renametojar(在CATALINA_HOME/server/lib/目录下)改名为servlets-cgi.jar。处理CGI的servlet应该位于Tomcat的CLASSPATH下。
2.在Tomcat的CATALINA_BASE/conf/web.xml文件中,把关于<servlet-name>CGI的那段注释去掉(默认情况下,该段位于第241行)。
3.同样,在Tomcat的CATALINA_BASE/conf/web.xml文件中,把关于CGI进行映射的该段的注释默认删除(情况下,该段位于第299行)。注意,最好的内容指定了HTML链接到CGI脚本的访问方式。4.您可以将
CGI脚本放置在WEB-INF/cgi目录下(注意,WEB-INF是一个安全的位置,你可以考虑把一些不想被用户看到或基于安全的文件放在此处),或者你也可以把CGI脚本放置在上下文下的其他目录下,并为CGI Servlet调整cgiPathPrefix初始化参数。这就指定了CGI Servlet的实际位置,且不能与上一步指定的URL重名。
5.重新启动Tomcat,你的CGI就可以运行了。
在Tomcat中,CGI程序工件放置在WEB-INF/cgi目录下,正如前面所提示的那样,WEB-INF目录受保护的,通过客户端的浏览器无法窥探到其中内容,所以对于放置带有密码或对于其他敏感信息的CGI脚本来说,这是一个非常好的位置。为了兼容其他服务器,尽管你也可以把CGI脚本保存在传统的/cgi-bin目录中,但要知道,在这些目录中的文件有另外,在Unix中,请确定运行Tomcat的用户有执行CGI脚本的权限。9.在Tomcat 4.1(或更高版本)中
改变Tomcat中的JSP编译器(JSP Compiler)
,大概),JSP的编译是由包含在Tomcat里面的Ant程序控制器直接执行的。这听起来有一点奇怪,但是Ant叉车为之的一部分,有一个API文档指导开发者在没有启动一个新的JVM的情况下,使用Ant。这是使用Ant进行Java开发的一大优势。另外,这也意味着你现在能够在Ant中使用任何javac支持的编译方式,这里有一个关于Apache Ant使用手册的javac页面列表。使用起来是很容易的,因为你只需要在<init-param>元素中定义一个名为“compiler”的名称,并且在值中有一个支持编译的编译器名称,示例如下:
<servlet>
<servlet-name>jsp</servlet-name>
<servlet-class>
org.apache.jasper.servlet.JspServlet
</servlet-class>
<init-param>
<param-name>logVerbosityLevel</param-name>
<参数值>警告</参数值><
/
初始化参数><初始化
参数><参数名称>编译器</参数名称><
参数值>jikes</参数值>
</init-param>
<load-on-startup>3</load-on-startup>
</servlet>
当然,给出的编译器必须已经安装在你的系统中,并且CLASSPATH可能需要设置,那处就决定于你选择的10.
特定主机访问(限制对特定主机的访问)
有时,你可能想对Tomcat web应用程序的访问,比如,你希望只有你指定的主机或IP地址可以访问你的应用程序。这样一来,就只有那些指定的客户端可以访问服务的内容了。为了实现这种效果,Tomcat提供了两个参数供你配置:RemoteHostValve和RemoteAddrValve。通过配置这两个参数,可以让你
过滤来自请求允许的主机或IP地址,并或拒绝哪些主机/IP。关联类似的,在Apache的httpd文件里有对每个目录的允许/拒绝指定。例如
你可以把Admin Web应用程序设置成只允许本地访问,设置如下:
<Context path="/path/to/secret_files"...>
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
allow="127.0.0.1"deny=""/>
</Context>
如果没有给出允许主机的指定,那么与拒绝主机匹配的主机就会被拒绝,除此之外的都是允许的。类似的,如果没有给出拒绝主机的指定,那么与允许主机匹配的主机就会被允许,除此以外的都是拒绝的。
--------------------------------------
作者简介:
Jason Brittain是CollabNet公司的一名资深软件工程师,主要负责软件基础架构的开发。他已经为Apache Jakarta项目做出了很多贡献,多年来,他一直是一名
Ian F.Darwin已经在计算机行业工作了30年:从1980年开始使用Unix,从1995年开始使用Java,从1998年开始使用OpenBSD。他是两本Oreilly图书的作者:Checking C Programs with lint和Java Cookbook,还与Jason Brittain合着了Tomcat:The Definitive Guide。
