Tomcat 服務器server.xml的關鍵參數配置
說明:以下文字均以tomcat5.0.30爲例進行。
1,配置tomcat服務器訪問端口,只需配置Connector的port端口即可。Tomcat默認爲8080,現修改port參數值爲80。
<!-- Define a non-SSL Coyote HTTP/1.1 Connector on port 8080 -->
<Connector port="80"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" redirectPort="8443" acceptCount="100"
debug="0" connectionTimeout="20000"
disableUploadTimeout="true" URIEncoding="GBK"/>
2,配置tomcat支持URL中文參數,只需添加Connector的URIEncoding參數即可,默認情況下該參數未被配置。要支持URL參數支持中文,加上URIEncoding="GBK"就行了(見1中附代碼最後一行)。
3,配置新的webApp:找到host尾標記</Host>,插入新的context即可。
如:
(1)<Context path="" docBase="ROOT" debug="0"/>
若要支持數據庫(以SQL Server爲例),則爲:
(2)<Context path="/xkb" docBase="F:/XKB6/webApp" debug="5" reloadable="true" crossContext="true">
<Logger className="org.apache.catalina.logger.FileLogger" prefix="localhost_DBTest_log." suffix=".txt" timestamp="true"/>
<Resource name="jdbc/SqlServerDB" auth="Container" type="javax.sql.DataSource"/>
<ResourceParams name="jdbc/SqlServerDB">
<parameter>
<name>factory</name>
<value>org.apache.commons.dbcp.BasicDataSourceFactory</value>
</parameter>
<!-- Maximum number of dB connections in pool. Make sure you configure your mysqld max_connections large enough to handle all of your db connections. Set to 0 for no limit.-->
<parameter>
<name>maxActive</name>
<value>50</value>
</parameter>
<!-- Maximum number of idle dB connections to retain in pool. Set to 0 for no limit.-->
<parameter>
<name>maxIdle</name>
<value>20</value>
</parameter>
<!-- Maximum time to wait for a dB connection to become available in ms, in this example 0.5 seconds. An Exception is thrown if this timeout is exceeded. Set to -1 to wait indefinitely. -->
<parameter>
<name>maxWait</name>
<value>500</value>
</parameter>
<!-- msSQL dB username and password for dB connections -->
<parameter>
<name>username</name>
<value>sa</value>
</parameter>
<parameter>
<name>password</name>
<value>wangnewton</value>
</parameter>
<!-- Class name for SQLServer2000 JDBC driver -->
<parameter>
<name>driverClassName</name>
<value>com.microsoft.jdbc.sqlserver.SQLServerDriver</value>
</parameter>
<!-- The JDBC connection url for connecting to your MS SQL Server dB.The autoReconnect=true argument to the url makes sure that the mm.Sql Server JDBC Driver will automatically reconnect if mysqld closed the connection. mysqld by default closes idle connections after 8 hours.-->
<parameter>
<name>url</name>
<value>jdbc:microsoft:sqlserver://localhost:1433;databaseName=XKBCourse</value>
<!--must use & not use & -->
</parameter>
</ResourceParams>
</Context>
tomcat5.5.x 配置記錄。
1.下載:
http://www.eu.apache.org/dist/jakarta/tomcat-5/
http://www.apache.org/dist/jakarta/tomcat-5/v5.5.x/bin/jakarta-tomcat-5.5.x-admin.zip
http://www.apache.org/dist/jakarta/tomcat-5/v5.5.x/bin/jakarta-tomcat-5.5.x-compat.zip
http://www.apache.org/dist/jakarta/tomcat-5/v5.5.x/bin/jakarta-tomcat-5.5.x.zip
http://www.apache.org/dist/jakarta/tomcat-5/v5.5.x/bin/jakarta-tomcat-5.5.x-deployer.zip
把jakarta-tomcat-5.5.x.zip
和jakarta-tomcat-5.5.x-compat.zip
和jakarta-tomcat-5.5.x-admin.zip
(Tomcat 默認是沒有內置admin模塊了
Tomcat's administration web application is no longer installed by default. Download and install the "admin" package to use it. )
都解壓到同一個目錄下面。比如:D:/jakarta-tomcat-5.5.x/
(如果使用jdk1.4,才需要compat.zip用jdk1.5就可以免了這個。)
2.修改jakarta-tomcat-5.5.x/conf/tomcat-users.xml.
添加管理員賬號lizongbo,密碼爲lizongbopass.
新xml如下:
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
<role rolename="tomcat"/>
<role rolename="role1"/>
<role rolename="manager"/>
<role rolename="admin"/>
<user username="tomcat" password="tomcat" roles="tomcat"/>
<user username="role1" password="tomcat" roles="role1"/>
<user username="both" password="tomcat" roles="tomcat,role1"/>
<user username="lizongbo" password="lizongbopass" roles="admin,manager"/>
</tomcat-users>
3.修改jakarta-tomcat-5.5.x/conf/server.xml來解決編碼問題。
(給Connector 添加URIEncoding參數,參考http://blog.csdn.net/darkxie/archive/2004/10/25/TOMCATAPP.aspx)
(可以設置成GB18030)
<Connector port="8080"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" redirectPort="8443" acceptCount="200"
connectionTimeout="20000" disableUploadTimeout="true" URIEncoding="GBK"
compression="on" compressionMinSize="2048"
noCompressionUserAgents="gozilla, traviata"
compressableMimeType="text/html,text/xml"/>
<Connector port="8009"
enableLookups="false" redirectPort="8443" protocol="AJP/1.3" URIEncoding="GBK"/>
4.啓用支持gzip壓縮.
(http://www.linuxaid.com.cn/forum/showdoc.jsp?l=1&i=81169)
添加下列屬性
compression="on"
compressionMinSize="2048"
noCompressionUserAgents="gozilla, traviata"
compressableMimeType="text/html,text/xml"
5.設置虛擬主機。
在jakarta-tomcat-5.5.x/下建立文件夾vhost/www.mydomain.com。
然後修改jakarta-tomcat-5.5.x/conf/server.xml
<Engine defaultHost="localhost" name="Catalina">
<Host appBase="vhost/www.mydomain.com" name="www.mydomain.com">
</Host>
<Host appBase="webapps" name="localhost">
</Host>
<Realm className="org.apache.catalina.realm.UserDatabaseRealm"/>
</Engine>
6.添加數據庫驅動,更新mail.jar和actiovation.jar
複製mysql-connector-java-3.0.16-ga-bin.jar,pg74.215.jdbc3.jar到 jakarta-tomcat-5.5.x/common/lib/
還有javamail 1.3.2的mail.jar,jaf-1_0_2的 activation.jar
msSQl 2000 JDBC sp3,msbase.jar,msutil,jar,mssqlserver.jar
7.配置SSL
參考 http://jakarta.apache.org/tomcat/tomcat-5.5-doc/ssl-howto.html
D:/j2sdk1.4.2_06/bin>%JAVA_HOME%/bin/keytool -genkey -alias tomcat -keyalg RSA
輸入keystore密碼: lizongbossl
您的名字與姓氏是什麼?
[tomcat5.5.x]: tomcat5.5.x
您的組織單位名稱是什麼?
[jakarta]: jakarta
您的組織名稱是什麼?
[apache]: apache
您所在的城市或區域名稱是什麼?
[hzcity]: hzcity
您所在的州或省份名稱是什麼?
[gdp]: gdp
該單位的兩字母國家代碼是什麼
[CN]: CN
CN=tomcat5.5.x, OU=jakarta, O=apache, L=hzcity, ST=gdp, C=CN 正確嗎?
[否]: y
輸入<tomcat>的主密碼
(如果和 keystore 密碼相同,按回車):
(必須密碼一致,因此直接回車)
然後再把userhome(例如:C:/Documents and Settings/lizongbo/)下的.keystore複製到
tomcat的conf/目錄下。
(例如:D:/jakarta-tomcat-5.5.x/conf/.keystore )
配置jakarta-tomcat-5.5.x/conf/server.xml
加上
<Connector port="8443"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="conf/.keystore"
keystorePass="lizongbossl"> <!--與先前設置的密碼一致-->
</Connector>
8.禁止文件目錄列表,
修改jakarta-tomcat-5.5.x/conf/web.xml,把listing設置爲false
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>true</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
9.指定了自己的javaEncoding
(參考 http://gceclub.sun.com.cn/staticcontent/html/sunone/app7/app7-dg-webapp/ch6/ch6-4.html )
<servlet>
<servlet-name>jsp</servlet-name>
<servlet-class>org.apache.jasper.servlet.JspServlet</servlet-class>
<init-param>
<param-name>fork</param-name>
<param-value>false</param-value>
</init-param>
<init-param>
<param-name>javaEncoding</param-name>
<param-value>GB18030</param-value>
</init-param>
<init-param>
<param-name>xpoweredBy</param-name>
<param-value>true</param-value>
</init-param>
<load-on-startup>3</load-on-startup>
</servlet>
10.添加rar,iso等的mime-type映射
避免在瀏覽器裏直接打開。
<mime-mapping>
<extension>mht</extension>
<mime-type>text/x-mht</mime-type>
</mime-mapping>
<mime-mapping>
<extension>rar</extension>
<mime-type>application/octet-stream</mime-type>
</mime-mapping>
<mime-mapping>
<extension>iso</extension>
<mime-type>application/octet-stream</mime-type>
</mime-mapping>
<mime-mapping>
<extension>ape</extension>
<mime-type>application/octet-stream</mime-type>
</mime-mapping>
<mime-mapping>
<extension>rmvb</extension>
<mime-type>application/octet-stream</mime-type>
</mime-mapping>
<mime-mapping>
<extension>ico</extension>
<mime-type>image/x-icon</mime-type>
</mime-mapping>
10.1對html靜態頁面設置編碼
<!-- 修改下面兩行以支持靜態超文本的自動編碼
-->
<mime-mapping>
<extension>htm</extension>
<mime-type>text/html;charset=gb2312</mime-type>
</mime-mapping>
<mime-mapping>
<extension>html</extension>
<mime-type>text/html;charset=gb2312</mime-type>
</mime-mapping>
</web-app>
11.添加welcome-file-list,並調整順序。
<welcome-file-list>
<welcome-file>index.jsp</welcome-file>
<welcome-file>index.html</welcome-file>
<welcome-file>index.htm</welcome-file>
<welcome-file>default.html</welcome-file>
<welcome-file>default.htm</welcome-file>
<welcome-file>default.jsp</welcome-file>
</welcome-file-list>
Tomcat中文編碼問題解決方案(簡)
liyonghai 04/08/30
編碼問題的根源可參考http://www-900.ibm.com/developerWorks/cn/java/java_chinese/index.shtml
Tomcat 4.x解決方法:
獲取中文:request.setCharacterEncoding("gb2312");
輸出中文:<%@ page contentType="text/html;charset=gb2312" %>,必要時需要轉碼
Tomcat 5.x解決方法:
獲取中文:
提交表單時
1)post:request.setCharacterEncoding("gb2312");
2)get:修改server.xml,在Connector中加入URIEncoding="gb2312"
如: <Connector port="80" maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" redirectPort="8443" acceptCount="100"
debug="0" connectionTimeout="20000"
disableUploadTimeout="true" URIEncoding="gb2312" />
或者使用useBodyEncodingForURI,使tomcat 5.x兼容tomcat 4.x
輸出中文:<%@ page contentType="text/html;charset=gb2312" %>,必要時需要轉碼
附:Tomcat 5.x與Tomcat 4.x在解析提交表單時發生了變化,Tomcat 4.x無論是post還是get,都使用
相同的編碼,而Tomcat 5.x 卻把get方法單獨了出來.具體可查看tomcat的source code.
get方式的處理比較好,對於post方式建議用配置過濾器的方式來解決,因爲這樣,配置一個地方整個系統都不用操心了。
簡單說明:
web.xml
<filter>
<filter-name>Set Character Encoding</filter-name>
<filter-class>SetCharacterEncodingFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>Set Character Encoding</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
/************************/
SetCharacterEncodingFilter.java
--------------------------------------------
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.UnavailableException;
/**
* Example filter that sets the character encoding to be used in parsing the
* incoming request
*/
public class SetCharacterEncodingFilter implements Filter {
/**
* Take this filter out of service.
*/
public void destroy() {
}
/**
* select and set (if specified) the character encoding to be used to
* interpret request parameters for this request.
*/
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain)throws IOException, ServletException {
request.setCharacterEncoding("GBK");
// 傳遞控制到下一個過濾器
chain.doFilter(request, response);
}
public void init(FilterConfig filterConfig) throws ServletException {
}
}
////也可以把編碼做爲參數傳遞進去。
12.如果你的webapp需要只能夠進行https方式訪問,那麼在webapp的web.xml里加上:
<security-constraint>
<web-resource-collection>
<web-resource-name>must https</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
參考:http://jakarta.apache.org/tomcat/faq/security.html#https
http://marc.theaimsgroup.com/?l=tomcat-user&m=104951559722619&w=2
13.修改遠程關閉服務器的命令。
server.xml默認有下面一行:
<Server port="8005" shutdown="SHUTDOWN">
這樣允許任何人只要telnet到服務器的8005端口,輸入"SHUTDOWN",然後回車,服務器立即就被關掉了。
從安全的角度上考慮,我們需要把這個shutdown指令改成一個別人不容易猜測的字符串。
例如修改如下:
<Server port="8006" shutdown="lizongbo">,這樣就只有在telnet到8005,並且輸入"lizongbo"才能夠關閉Tomcat.
注意:這個修改不影響shutdown.bat的執行。運行shutdown.bat一樣可以關閉服務器。
參考:http://jakarta.apache.org/tomcat/faq/security.html#8005
以下皆可以參考:http://www.cnjsp.org/document/user/tuman/valve.html
14.配置http訪問日誌。Tomcat自帶的能夠記錄的http訪問日誌已經很詳細了
取消下面這段的註釋:
<Valve className="org.apache.catalina.valves.AccessLogValve"
directory="logs" prefix="localhost_access_log." suffix=".txt"
pattern="common" resolveHosts="false"/>
然後修改爲:
<Valve className="org.apache.catalina.valves.FastCommonAccessLogValve"
directory="logs" prefix="localhost_access_log." suffix=".txt"
pattern="combined" resolveHosts="false" fileDateFormat="yyyy-MM-dd.HH"/>
pattern="combined" 記錄的日誌內容更詳細,fileDateFormat="yyyy-MM-dd.HH",會讓日誌文件按小時進行滾卷,
比默認的按天滾卷要好些,尤其是訪問量大的網站,可以考慮寫成fileDateFormat="yyyy-MM-dd.HH.mm",就會是每分鐘一個日誌文件了。
而且可以分別按Engine, Host, or Context,來記錄自己的日誌
詳情參考:
http://jakarta.apache.org/tomcat/tomcat-5.5-doc/config/valve.html
http://jakarta.apache.org/tomcat/tomcat-5.0-doc/config/logger.html
http://jakarta.apache.org/tomcat/tomcat-5.0-doc/config/host.html#Access%20Logs
而且還可以配合awstats來進行日誌統計分析: http://www.chedong.com/tech/awstats.html http://blog.csdn.net/lizongbo/archive/2005/02/18/291929.aspx
15.限制ip,限制主機訪問等。
如果想禁止指定的ip或者主機名來拒絕某些機器訪問,或者指定某些機器來訪問。
也支持分別按Engine, Host, or Context,進行以下配置:
<Context path="/examples" ...> ...
<Valve className="org.apache.catalina.valves.RemoteHostValve"
allow="*.mycompany.com,www.yourcompany.com"/>
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
deny="192.168.1.*"/>
</Context>
參考:
http://jakarta.apache.org/tomcat/tomcat-5.0-doc/config/context.html
16.發佈webapp到網站根目錄
1。直接複製到ROOT目錄下。
2.因爲無法創建無名字的xml文件,並且在xml文件裏指定path也是無效的(tomcat靠文件名字來判斷的),
因此必須在server.xml裏寫下面一段:
<Context docBase="${catalina.home}/vhost/www.lizongbo.com" path="/"
privileged="true" antiResourceLocking="false" antiJARLocking="false">
<Manager className="org.apache.catalina.session.StandardManager" algorithm="SHA-512" sessionIdLength="40">
<Valve className="org.apache.catalina.valves.FastCommonAccessLogValve"
directory="logs" prefix="localhost_mytest_access_log." suffix=".txt"
pattern="combined" resolveHosts="true" fileDateFormat="yyyy-MM-dd.HH"/>
</Context>
而且必須把ROOT目錄刪除掉,否則Tomcat還是優先部署ROOT目錄爲"/"。
17.在重新啓動Tomcat的webapp的時候,禁止把session寫入文件。
修改conf/web.xml
取消註釋:
<!---->
<Manager pathname="" />
18.增強SessiionID的生成算法和長度。
<Manager className="org.apache.catalina.session.StandardManager" algorithm="SHA-512" sessionIdLength="40">
</Manager>
(Tomcat默認算法是MD5,默認長度是16位。)
//------------------------------------------------------------------------------------------------------------------------------------------
http://www.eu.apache.org/dist/jakarta/tomcat-5/ 這裏注意,在jakarta-tomcat-5.0.28.exe以前是有默認的admin模塊,在jakarta-tomcat-5.5.9.exe則沒有安裝默認的admin模塊,這時
http://127.0.0.1:8080/admin打開時則會出現 Tomcat's administration web application is no longer installed by default. Download and install the "admin" package to use it.
因此我們現在需要下載"admin"package 包
把jakarta-tomcat-5.5.x.zip 與 jakarta-tomcat-5.5.x-compat.zip 與 jakarta-tomcat-5.5.x-admin.zip
三個文件解壓在同一個目錄中
(如果使用jdk1.4,才需要compat.zip用jdk1.5就可以免了這個。)
2.修改jakarta-tomcat-5.5.x/conf/tomcat-users.xml.
添加管理員賬號lizongbo,密碼爲lizongbopass.
新xml如下:
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
<role rolename="tomcat"/>
<role rolename="role1"/>
<role rolename="manager"/>
<role rolename="admin"/>
<user username="tomcat" password="tomcat" roles="tomcat"/>
<user username="role1" password="tomcat" roles="role1"/>
<user username="both" password="tomcat" roles="tomcat,role1"/>
<user username="lizongbo" password="lizongbopass" roles="admin,manager"/>
</tomcat-users>
有時在%CATALINA_HOME%/server/webapps/admin/WEB-INF/web.xml裏面也要做些修改
<!-- Security is active on entire directory -->
<security-constraint>
<display-name>Tomcat Server Configuration Security Constraint</display-name>
<web-resource-collection>
<web-resource-name>Protected Area</web-resource-name>
<!-- Define the context-relative URL(s) to be protected -->
<url-pattern>*.jsp</url-pattern>
<url-pattern>*.do</url-pattern>
<url-pattern>*.html</url-pattern>
</web-resource-collection>
<auth-constraint>
<!-- Anyone with one of the listed roles may access this area -->
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
<!-- Login configuration uses form-based authentication -->
<login-config>
<auth-method>FORM</auth-method>
<realm-name>Tomcat Server Configuration Form-Based Authentication Area</realm-name>
<form-login-config>
<form-login-page>/login.jsp</form-login-page>
<form-error-page>/error.jsp</form-error-page>
</form-login-config>
</login-config>
<!-- Security roles referenced by this web application -->
<security-role>
<description>
The role that is required to log in to the Administration Application
</description>
<role-name>admin</role-name>
</security-role>
無論是 Authetication ( 身份驗證
還是 Authorization ( 權限管控 都只有設置相關的 admin ROLE, 當你想要新增或修改相關的 AA, 就必須修改這一個文件, 來符合你的環境.3.修改jakarta-tomcat-5.5.x/conf/server.xml來解決編碼問題。
(給Connector 添加URIEncoding參數,參考
http://blog.csdn.net/darkxie/archive/2004/10/25/TOMCATAPP.aspx) (可以設置成GB18030)
<Connector port="8080"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" redirectPort="8443" acceptCount="200"
connectionTimeout="20000" disableUploadTimeout="true" URIEncoding="GBK"
compression="on" compressionMinSize="2048"
noCompressionUserAgents="gozilla, traviata"
compressableMimeType="text/html,text/xml"/>
<Connector port="8009"
enableLookups="false" redirectPort="8443" protocol="AJP/1.3" URIEncoding="GBK"/>
4.啓用支持gzip壓縮.
(
http://www.linuxaid.com.cn/forum/showdoc.jsp?l=1&i=81169) 添加下列屬性
compression="on"
compressionMinSize="2048"
noCompressionUserAgents="gozilla, traviata"
compressableMimeType="text/html,text/xml"
5.設置虛擬主機。
在jakarta-tomcat-5.5.x/下建立文件夾vhost/www.mydomain.com。
然後修改jakarta-tomcat-5.5.x/conf/server.xml
<Engine defaultHost="localhost" name="Catalina">
<Host appBase="vhost/www.mydomain.com" name="
http://www.mydomain.com/"> </Host>
<Host appBase="webapps" name="localhost">
</Host>
<Realm className="org.apache.catalina.realm.UserDatabaseRealm"/>
</Engine>
6.添加數據庫驅動,更新mail.jar和actiovation.jar
複製mysql-connector-java-3.0.16-ga-bin.jar,pg74.215.jdbc3.jar到 jakarta-tomcat-5.5.x/common/lib/
還有javamail 1.3.2的mail.jar,jaf-1_0_2的 activation.jar
msSQl 2000 JDBC sp3,msbase.jar,msutil,jar,mssqlserver.jar
7.配置SSL
參考
http://jakarta.apache.org/tomcat/tomcat-5.5-doc/ssl-howto.html D:/j2sdk1.4.2_06/bin>%JAVA_HOME%/bin/keytool -genkey -alias tomcat -keyalg RSA
輸入keystore密碼: lizongbossl
您的名字與姓氏是什麼?
[tomcat5.5.x]: tomcat5.5.x
您的組織單位名稱是什麼?
[jakarta]: jakarta
您的組織名稱是什麼?
[apache]: apache
您所在的城市或區域名稱是什麼?
[hzcity]: hzcity
您所在的州或省份名稱是什麼?
[gdp]: gdp
該單位的兩字母國家代碼是什麼
[CN]: CN
CN=tomcat5.5.x, OU=jakarta, O=apache, L=hzcity, ST=gdp, C=CN 正確嗎?
[否]: y
輸入<tomcat>的主密碼
(如果和 keystore 密碼相同,按回車):
(必須密碼一致,因此直接回車)
然後再把userhome(例如:C:/Documents and Settings/lizongbo/)下的.keystore複製到
tomcat的conf/目錄下。
(例如:D:/jakarta-tomcat-5.5.x/conf/.keystore
配置jakarta-tomcat-5.5.x/conf/server.xml
加上
<Connector port="8443"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="conf/.keystore"
keystorePass="lizongbossl"> <!--與先前設置的密碼一致-->
</Connector>
8.禁止文件目錄列表,
修改jakarta-tomcat-5.5.x/conf/web.xml,把listing設置爲false
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>true</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
9.指定了自己的javaEncoding
(參考
http://gceclub.sun.com.cn/staticcontent/html/sunone/app7/app7-dg-webapp/ch6/ch6-4.html <servlet>
<servlet-name>jsp</servlet-name>
<servlet-class>org.apache.jasper.servlet.JspServlet</servlet-class>
<init-param>
<param-name>fork</param-name>
<param-value>false</param-value>
</init-param>
<init-param>
<param-name>javaEncoding</param-name>
<param-value>GB18030</param-value>
</init-param>
<init-param>
<param-name>xpoweredBy</param-name>
<param-value>true</param-value>
</init-param>
<load-on-startup>3</load-on-startup>
</servlet>
10.添加rar,iso等的mime-type映射
避免在瀏覽器裏直接打開。
<mime-mapping>
<extension>mht</extension>
<mime-type>text/x-mht</mime-type>
</mime-mapping>
<mime-mapping>
<extension>rar</extension>
<mime-type>application/octet-stream</mime-type>
</mime-mapping>
<mime-mapping>
<extension>iso</extension>
<mime-type>application/octet-stream</mime-type>
</mime-mapping>
<mime-mapping>
<extension>ape</extension>
<mime-type>application/octet-stream</mime-type>
</mime-mapping>
<mime-mapping>
<extension>rmvb</extension>
<mime-type>application/octet-stream</mime-type>
</mime-mapping>
<mime-mapping>
<extension>ico</extension>
<mime-type>image/x-icon</mime-type>
</mime-mapping>
10.1對html靜態頁面設置編碼
<!-- 修改下面兩行以支持靜態超文本的自動編碼
-->
<mime-mapping>
<extension>htm</extension>
<mime-type>text/html;charset=gb2312</mime-type>
</mime-mapping>
<mime-mapping>
<extension>html</extension>
<mime-type>text/html;charset=gb2312</mime-type>
</mime-mapping>
</web-app>
11.添加welcome-file-list,並調整順序。
<welcome-file-list>
<welcome-file>index.jsp</welcome-file>
<welcome-file>index.html</welcome-file>
<welcome-file>index.htm</welcome-file>
<welcome-file>default.html</welcome-file>
<welcome-file>default.htm</welcome-file>
<welcome-file>default.jsp</welcome-file>
</welcome-file-list>
Tomcat配置技巧Top 10|
Tomcat配置技巧Top 10
|
||||||||||||||
|
需要做的就是:按照你的需求配置Tomcat,只要你正確配置,Tomcat一般都能適合你的要求。下面是一系列關於Tomcat的配置技巧,這些技巧源自於我的書:《Tomcat權威指南》,希望對你有所幫助。 Jason Brittain
1. 配置系統管理(Admin Web Application) 大多數商業化的J2EE服務器都提供一個功能強大的管理界面,且大都採用易於理解的Web應用界面。Tomcat按照自己的方式,同樣提供一個成熟的管理工具,並且絲毫不遜於那些商業化的競爭對手。Tomcat的Admin Web Application最初在4.1版本時出現,當時的功能包括管理context、data source、user和group等。當然也可以管理像初始化參數,user、group、role的多種數據庫管理等。在後續的版本中,這些功能將得到很大的擴展,但現有的功能已經非常實用了。 Admin Web Application被定義在自動部署文件:CATALINA_BASE/webapps/admin.xml 。 (譯者注:CATALINA_BASE即tomcat安裝目錄下的server目錄) 你必須編輯這個文件,以確定Context中的docBase參數是絕對路徑。也就是說,CATALINA_BASE/webapps/admin.xml 的路徑是絕對路徑。作爲另外一種選擇,你也可以刪除這個自動部署文件,而在server.xml文件中建立一個Admin Web Application的context,效果是一樣的。你不能管理Admin Web Application這個應用,換而言之,除了刪除CATALINA_BASE/webapps/admin.xml ,你可能什麼都做不了。 如果你使用UserDatabaseRealm(默認),你將需要添加一個user以及一個role到CATALINA_BASE/conf/tomcat-users.xml 文件中。你編輯這個文件,添加一個名叫“admin”的role 到該文件中,如下:
你同樣需要有一個用戶,並且這個用戶的角色是“admin”。象存在的用戶那樣,添加一個用戶(改變密碼使其更加安全):
當你完成這些步驟後,請重新啓動Tomcat,訪問http://localhost:8080/admin,你將看到一個登錄界面。Admin Web Application採用基於容器管理的安全機制,並採用了Jakarta Struts框架。一旦你作爲“admin”角色的用戶登錄管理界面,你將能夠使用這個管理界面配置Tomcat。 2.配置應用管理(Manager Web Application) Manager Web Application讓你通過一個比Admin Web Application更爲簡單的用戶界面,執行一些簡單的Web應用任務。 Manager Web Application被被定義在一個自動部署文件中:
你必須編輯這個文件,以確保context的docBase參數是絕對路徑,也就是說CATALINA_HOME/server/webapps/manager的絕對路徑。 (譯者注:CATALINA_HOME即tomcat安裝目錄) 如果你使用的是UserDatabaseRealm,那麼你需要添加一個角色和一個用戶到CATALINA_BASE/conf/tomcat-users.xml文件中。接下來,編輯這個文件,添加一個名爲“manager”的角色到該文件中:
你同樣需要有一個角色爲“manager”的用戶。像已經存在的用戶那樣,添加一個新用戶(改變密碼使其更加安全):
然後重新啓動Tomcat,訪問http://localhost/manager/list,將看到一個很樸素的文本型管理界面,或者訪問http://localhost/manager/html/list,將看到一個HMTL的管理界面。不管是哪種方式都說明你的Manager Web Application現在已經啓動了。 Manager application讓你可以在沒有系統管理特權的基礎上,安裝新的Web應用,以用於測試。如果我們有一個新的web應用位於/home/user/hello下在,並且想把它安裝到 /hello下,爲了測試這個應用,我們可以這麼做,在第一個文件框中輸入“/hello”(作爲訪問時的path),在第二個文本框中輸入“file:/home/user/hello”(作爲Config URL)。 Manager application還允許你停止、重新啓動、移除以及重新部署一個web應用。停止一個應用使其無法被訪問,當有用戶嘗試訪問這個被停止的應用時,將看到一個503的錯誤??“503 - This application is not currently available”。 移除一個web應用,只是指從Tomcat的運行拷貝中刪除了該應用,如果你重新啓動Tomcat,被刪除的應用將再次出現(也就是說,移除並不是指從硬盤上刪除)。 3.部署一個web應用 有兩個辦法可以在系統中部署web服務。 1> 拷貝你的WAR文件或者你的web應用文件夾(包括該web的所有內容)到$CATALINA_BASE/webapps目錄下。 2> 爲你的web服務建立一個只包括context內容的XML片斷文件,並把該文件放到$CATALINA_BASE/webapps目錄下。這個web應用本身可以存儲在硬盤上的任何地方。 如果你有一個WAR文件,你若想部署它,則只需要把該文件簡單的拷貝到CATALINA_BASE/webapps目錄下即可,文件必須以“.war”作爲擴展名。一旦Tomcat監聽到這個文件,它將(缺省的)解開該文件包作爲一個子目錄,並以WAR文件的文件名作爲子目錄的名字。接下來,Tomcat將在內存中建立一個context,就好象你在server.xml文件裏建立一樣。當然,其他必需的內容,將從server.xml中的DefaultContext獲得。 部署web應用的另一種方式是寫一個Context XML片斷文件,然後把該文件拷貝到CATALINA_BASE/webapps目錄下。一個Context片斷並非一個完整的XML文件,而只是一個context元素,以及對該應用的相應描述。這種片斷文件就像是從server.xml中切取出來的context元素一樣,所以這種片斷被命名爲“context片斷”。 舉個例子,如果我們想部署一個名叫MyWebApp.war的應用,該應用使用realm作爲訪問控制方式,我們可以使用下面這個片斷:
把該片斷命名爲“MyWebApp.xml”,然後拷貝到CATALINA_BASE/webapps目錄下。 這種context片斷提供了一種便利的方法來部署web應用,你不需要編輯server.xml,除非你想改變缺省的部署特性,安裝一個新的web應用時不需要重啓動Tomcat。 4.配置虛擬主機(Virtual Hosts) 關於server.xml中“Host”這個元素,只有在你設置虛擬主機的才需要修改。虛擬主機是一種在一個web服務器上服務多個域名的機制,對每個域名而言,都好象獨享了整個主機。實際上,大多數的小型商務網站都是採用虛擬主機實現的,這主要是因爲虛擬主機能直接連接到Internet並提供相應的帶寬,以保障合理的訪問響應速度,另外虛擬主機還能提供一個穩定的固定IP。 基於名字的虛擬主機可以被建立在任何web服務器上,建立的方法就是通過在域名服務器(DNS)上建立IP地址的別名,並且告訴web服務器把去往不同域名的請求分發到相應的網頁目錄。因爲這篇文章主要是講Tomcat,我們不準備介紹在各種操作系統上設置DNS的方法,如果你在這方面需要幫助,請參考《DNS and Bind》一書,作者是Paul Albitz and Cricket Liu (O'Reilly)。爲了示範方便,我將使用一個靜態的主機文件,因爲這是測試別名最簡單的方法。 在Tomcat中使用虛擬主機,你需要設置DNS或主機數據。爲了測試,爲本地IP設置一個IP別名就足夠了,接下來,你需要在server.xml中添加幾行內容,如下:
Tomcat的server.xml文件,在初始狀態下,只包括一個虛擬主機,但是它容易被擴充到支持多個虛擬主機。在前面的例子中展示的是一個簡單的server.xml版本,其中粗體部分就是用於添加一個虛擬主機。每一個Host元素必須包括一個或多個context元素,所包含的context元素中必須有一個是默認的context,這個默認的context的顯示路徑應該爲空(例如,path=””)。 5.配置基礎驗證(Basic Authentication) 容器管理驗證方法控制着當用戶訪問受保護的web應用資源時,如何進行用戶的身份鑑別。當一個web應用使用了Basic Authentication(BASIC參數在web.xml文件中auto-method元素中設置),而有用戶訪問受保護的web應用時,Tomcat將通過HTTP Basic Authentication方式,彈出一個對話框,要求用戶輸入用戶名和密碼。在這種驗證方法中,所有密碼將被以64位的編碼方式在網絡上傳輸。 注意:使用Basic Authentication通過被認爲是不安全的,因爲它沒有強健的加密方法,除非在客戶端和服務器端都使用HTTPS或者其他密碼加密碼方式(比如,在一個虛擬私人網絡中)。若沒有額外的加密方法,網絡管理員將能夠截獲(或濫用)用戶的密碼。但是,如果你是剛開始使用Tomcat,或者你想在你的web應用中測試一下基於容器的安全管理,Basic Authentication還是非常易於設置和使用的。只需要添加<security-constraint>和<login-config>兩個元素到你的web應用的web.xml文件中,並且在CATALINA_BASE/conf/tomcat-users.xml 文件中添加適當的<role>和<user>即可,然後重新啓動Tomcat。 下面例子中的web.xml摘自一個俱樂部會員網站系統,該系統中只有member目錄被保護起來,並使用Basic Authentication進行身份驗證。請注意,這種方式將有效的代替Apache web服務器中的.htaccess文件。
6.配置單點登錄(Single Sign-On) 一旦你設置了realm和驗證的方法,你就需要進行實際的用戶登錄處理。一般說來,對用戶而言登錄系統是一件很麻煩的事情,你必須儘量減少用戶登錄驗證的次數。作爲缺省的情況,當用戶第一次請求受保護的資源時,每一個web應用都會要求用戶登錄。如果你運行了多個web應用,並且每個應用都需要進行單獨的用戶驗證,那這看起來就有點像你在與你的用戶搏鬥。用戶們不知道怎樣才能把多個分離的應用整合成一個單獨的系統,所有他們也就不知道他們需要訪問多少個不同的應用,只是很迷惑,爲什麼總要不停的登錄。 Tomcat 4的“single sign-on”特性允許用戶在訪問同一虛擬主機下所有web應用時,只需登錄一次。爲了使用這個功能,你只需要在Host上添加一個SingleSignOn Valve元素即可,如下所示:
在Tomcat初始安裝後,server.xml的註釋裏面包括SingleSignOn Valve配置的例子,你只需要去掉註釋,即可使用。那麼,任何用戶只要登錄過一個應用,則對於同一虛擬主機下的所有應用同樣有效。 使用single sign-on valve有一些重要的限制: 1> value必須被配置和嵌套在相同的Host元素裏,並且所有需要進行單點驗證的web應用(必須通過context元素定義)都位於該Host下。 2> 包括共享用戶信息的realm必須被設置在同一級Host中或者嵌套之外。 3> 不能被context中的realm覆蓋。 4> 使用單點登錄的web應用最好使用一個Tomcat的內置的驗證方式(被定義在web.xml中的<auth-method>中),這比自定義的驗證方式強,Tomcat內置的的驗證方式包括basic、digest、form和client-cert。 5> 如果你使用單點登錄,還希望集成一個第三方的web應用到你的網站中來,並且這個新的web應用使用它自己的驗證方式,而不使用容器管理安全,那你基本上就沒招了。你的用戶每次登錄原來所有應用時需要登錄一次,並且在請求新的第三方應用時還得再登錄一次。當然,如果你擁有這個第三方web應用的源碼,而你又是一個程序員,你可以修改它,但那恐怕也不容易做。 6> 單點登錄需要使用cookies。 7.配置用戶定製目錄(Customized User Directores) 一些站點允許個別用戶在服務器上發佈網頁。例如,一所大學的學院可能想給每一位學生一個公共區域,或者是一個ISP希望給一些web空間給他的客戶,但這又不是虛擬主機。在這種情況下,一個典型的方法就是在用戶名前面加一個特殊字符(~),作爲每位用戶的網站,比如:
Tomcat提供兩種方法在主機上映射這些個人網站,主要使用一對特殊的Listener元素。Listener的className屬性應該是org.apache.catalina.startup.UserConfig,userClass屬性應該是幾個映射類之一。如果你的系統是Unix,它將有一個標準的/etc/passwd文件,該文件中的帳號能夠被運行中的Tomcat很容易的讀取,該文件指定了用戶的主目錄,使用PasswdUserDatabase 映射類。
web文件需要放置在像/home/users/ian/public_html 或者 /users/jbrittain/public_html一樣的目錄下面。當然你也可以改變public_html 到其他任何子目錄下。 實際上,這個用戶目錄根本不一定需要位於用戶主目錄下里面。如果你沒有一個密碼文件,但你又想把一個用戶名映射到公共的像/home一樣目錄的子目錄裏面,則可以使用HomesUserDatabase類。
這樣一來,web文件就可以位於像/home/ian/public_html 或者 /home/jasonb/public_html一樣的目錄下。這種形式對Windows而言更加有利,你可以使用一個像c:/home這樣的目錄。 這些Listener元素,如果出現,則必須在Host元素裏面,而不能在context元素裏面,因爲它們都用應用於Host本身。 8.在Tomcat中使用CGI腳本 Tomcat主要是作爲Servlet/JSP容器,但它也有許多傳統web服務器的性能。支持通用網關接口(Common Gateway Interface,即CGI)就是其中之一,CGI提供一組方法在響應瀏覽器請求時運行一些擴展程序。CGI之所以被稱爲通用,是因爲它能在大多數程序或腳本中被調用,包括:Perl,Python,awk,Unix shell scripting等,甚至包括Java。當然,你大概不會把一個Java應用程序當作CGI來運行,畢竟這樣太過原始。一般而言,開發Servlet總要比CGI具有更好的效率,因爲當用戶點擊一個鏈接或一個按鈕時,你不需要從操作系統層開始進行處理。 Tomcat包括一個可選的CGI Servlet,允許你運行遺留下來的CGI腳本。 爲了使Tomcat能夠運行CGI,你必須做如下幾件事: 1. 把servlets-cgi.renametojar (在CATALINA_HOME/server/lib/目錄下)改名爲servlets-cgi.jar。處理CGI的servlet應該位於Tomcat的CLASSPATH下。 2. 在Tomcat的CATALINA_BASE/conf/web.xml 文件中,把關於<servlet-name> CGI的那段的註釋去掉(默認情況下,該段位於第241行)。 3. 同樣,在Tomcat的CATALINA_BASE/conf/web.xml文件中,把關於對CGI進行映射的那段的註釋去掉(默認情況下,該段位於第299行)。注意,這段內容指定了HTML鏈接到CGI腳本的訪問方式。 4. 你可以把CGI腳本放置在WEB-INF/cgi 目錄下(注意,WEB-INF是一個安全的地方,你可以把一些不想被用戶看見或基於安全考慮不想暴露的文件放在此處),或者你也可以把CGI腳本放置在context下的其他目錄下,併爲CGI Servlet調整cgiPathPrefix初始化參數。這就指定的CGI Servlet的實際位置,且不能與上一步指定的URL重名。 5. 重新啓動Tomcat,你的CGI就可以運行了。 在Tomcat中,CGI程序缺省放置在WEB-INF/cgi目錄下,正如前面所提示的那樣,WEB-INF目錄受保護的,通過客戶端的瀏覽器無法窺探到其中內容,所以對於放置含有密碼或其他敏感信息的CGI腳本而言,這是一個非常好的地方。爲了兼容其他服務器,儘管你也可以把CGI腳本保存在傳統的/cgi-bin目錄,但要知道,在這些目錄中的文件有可能被網上好奇的衝浪者看到。另外,在Unix中,請確定運行Tomcat的用戶有執行CGI腳本的權限。 9.改變Tomcat中的JSP編譯器(JSP Compiler) 在Tomcat 4.1(或更高版本,大概),JSP的編譯由包含在Tomcat裏面的Ant程序控制器直接執行。這聽起來有一點點奇怪,但這正是Ant有意爲之的一部分,有一個API文檔指導開發者在沒有啓動一個新的JVM的情況下,使用Ant。這是使用Ant進行Java開發的一大優勢。另外,這也意味着你現在能夠在Ant中使用任何javac支持的編譯方式,這裏有一個關於Apache Ant使用手冊的javac page列表。使用起來是容易的,因爲你只需要在<init-param> 元素中定義一個名字叫“compiler”,並且在value中有一個支持編譯的編譯器名字,示例如下:
當然,給出的編譯器必須已經安裝在你的系統中,並且CLASSPATH可能需要設置,那處決於你選擇的是何種編譯器。 10.限制特定主機訪問(Restricting Access to Specific Hosts) 有時,你可能想限制對Tomcat web應用的訪問,比如,你希望只有你指定的主機或IP地址可以訪問你的應用。這樣一來,就只有那些指定的的客戶端可以訪問服務的內容了。爲了實現這種效果,Tomcat提供了兩個參數供你配置:RemoteHostValve 和RemoteAddrValve。 通過配置這兩個參數,可以讓你過濾來自請求的主機或IP地址,並允許或拒絕哪些主機/IP。與之類似的,在Apache的httpd文件裏有對每個目錄的允許/拒絕指定。 例如你可以把Admin Web application設置成只允許本地訪問,設置如下:
如果沒有給出允許主機的指定,那麼與拒絕主機匹配的主機就會被拒絕,除此之外的都是允許的。與之類似,如果沒有給出拒絕主機的指定,那麼與允許主機匹配的主機就會被允許,除此之外的都是拒絕的。 |
