Tomcat 基本配置
tomcat讀取配置文件
首先簡單說一下tomcat是如何讀取配置文件的。tomcat在啓動時,首先找系統變量CATALINA_BASE,若是沒有,則找CATALINA_HOME。而後找這個變量所指的目錄下的conf文件夾,從中讀取配置文件。
最重要的配置文件:server.xml
要配置tomcat,基本上了解server.xml,context.xml和web.xml就能夠了。在Tomcat中,都有這幾個文件的默認文件,如server.xml的內容以下:
- <Server port=」8005」 shutdown=」SHUTDOWN」>
- ...
- <Service name=」Catalina」>
- <Connector port=」8080」 protocol=」HTTP/1.1」
- maxThreads=」150」 connectionTimeout=」20000」
- redirectPort=」8443」 />
- <Connector port=」8009」 protocol=」AJP/1.3」 redirectPort=」8443」 />
- <Engine name=」Catalina」 defaultHost=」localhost」>
- <Realm className=」org.apache.catalina.realm.UserDatabaseRealm」
- resourceName=」UserDatabase」/>
- <Host name=」localhost」 appBase=」webapps」
- unpackWARs=」true」 autoDeploy=」true」
- xmlValidation=」false」 xmlNamespaceAware=」false」>
- </Host>
- </Engine>
- </Service>
- </Server>
The Server Component
- <Server port=」8005」 shutdown=」SHUTDOWN」>
頂層元素爲<server>,這個元素對應着Tomcat結構中的server部分。這一行的意思是讓Tomcat在8005端口 監聽關閉消息,若是使用telnet鏈接8005端口並輸入SHUTDOWN,則tomcat就會關閉。爲了安全,tomcat不會接受遠程經過這個端口 發的消息。
<Server>還有一些其餘屬性,若是不作配置的話,這些屬性將使用默認值,下面是這些屬性的介紹。
屬性 |
描述 |
是否必須? |
className |
表示server的類,須要實現org.apache.catalina.Server接口。tocmat6默認值使用rg.apache.catalina.core.StandardServer |
否 |
port |
用來監聽shutdown屬性所對應的那個命令,實現關閉tomcat操做的TCP端口。tocmat會檢查鏈接是否來自同一臺機器,只有同一臺機器(物理地址)發來的消息才被接受。 |
是 |
shutdown |
tomcat會監聽port所規定的端口,來接受這個屬性所規定的命令 |
是 |
<Server>還有一些子標籤,內容以下:
屬性 |
描述 |
數量 |
<Service> |
包括一組和一個<Engine>相關聯的<Connector>。這些Connector能夠併發地接收各類協議的請求,並交給<Engine>來處理 |
1 or more |
<Listener> |
用來監聽Server生命週期(start, stop, before start, after start, before stop, after stop)信息 |
0 or more |
<GlobalNamingResources> |
整個tomcat實例均可以使用的JNDI資源 |
0 or more |
The Service Component
Service component包括一組Connector和一個Engine,這些Connector監聽不一樣端口不一樣協議的請求,而且這些Connector是並 發執行的,Engine則被用來處理這些請求。在默認的server.xml中,service標籤的內容以下:
<Service name=」Catalina」>
<service>能夠有如下屬性:
屬性 |
描述 |
必需? |
className |
service compoent所對應的java類,默認實現org.apache.catalina.core.StandServic |
否 |
name |
service的name,一般在administration,management和logging中使用 |
是 |
<service>擁有這些子元素:
子元素 |
描述 |
數量 |
Connector |
做用爲處理外部的鏈接請求並將其發送給Engine處理。一個Connector擁有幾個線程和相應資源來處理這些請求。 |
1 or more |
Engine |
經常使用類型有兩種,Catalina和Standalone。Engine是用來處理Connector發過來的請求的。 |
1 |
The Connector Component
tomcat6提供了兩種Connector,分別爲HTTP/1.1和AJP/1.3。這兩種Connector在默認的server.xml中的配置爲:
- <Connector port=」8080」 protocol=」HTTP/1.1」
- maxThreads=」150」 connectionTimeout=」20000」
- redirectPort=」8443」 />
- <Connector port=」8009」 protocol=」AJP/1.3」 redirectPort=」8443」 />
The Engine Component
Engine在server.xml中的代碼以下:
- <Engine name=」Catalina」 defaultHost=」localhost」>
- ...
- </Engine>
一個Engine就是一個容器,servlet容器。一個Engine能夠處理多個虛擬Host(apache中的概念)的請求。當Engine不知該將請求交給那個host時,Engine則將請求轉給defaultHost來處理。
<Engine>的屬性以下表所示:
屬性 |
描述 |
必需? |
className |
Engine所對應的java類,默認使用org.apache.catalina.core.StandardEngine |
否 |
backgroundProcessDelay |
單位爲秒,在這個屬性所定義的時間以後,此Engine將進入後臺處理。若是該值爲負,則直接進入後臺處理。後臺處理通常用於處理低優先級的任務。
|
否 |
defaultHost |
當Engine找不到請求對應的host時,就使用這個host |
是 |
jvmRoute |
這是tomcat6在負載均衡中使用的標識符, |
否 |
name |
Engine的名稱 |
是 |
做爲一個容器,Engine有許多子元素,具體內容以下表:
子元素 |
描述 |
數量 |
Host |
每一個<Host>元素都表示一個由Engine支配的虛擬主機(virtual host) |
1 or more |
Context |
一組屬性-元素的配置集合。在默認的context定義的屬性能夠被Engine中全部的web應用程序所使用。 |
0 or 1 |
Realm |
用於身份驗證等安全機制,Engine和Context均可以由Realm。若是不指定,則使用Engine的Realm。 |
0 or 1 |
Valve |
Standard Valve用於登錄日誌,請求過濾等 |
0 or more |
Listener |
用於tomcat生命週期控制 |
0 or more |
The Realm Component
在默認的server.xml中,Engine中的第一個子標籤就是<Realm>了,其代碼以下:
- <Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase"/>
這段代碼是對一個UserDatabase Realm的配置,它讓默認的web應用程序(manager)加載tomcat-user.xml來進行用戶驗證。
Realm能夠從不少其餘數據源獲取驗證數據,而這也正是不一樣的Realm的不一樣之處。通常地,Realm能夠從這些數據源獲取用戶驗證數據:
- 內存(memory):使用在內存中存放的一個表格進行驗證。這個表格時在tomcat啓動時從一個xml文件加載到內存中的,在這個表格中的信息格式通常爲:用戶名/密碼/角色。這種方式通常只用於測試和開發階段,最終產品不多使用這種方式
- UserDatabase:實現了一個能夠修改的、持久的memory Realm,能夠向後兼容memory Realm。
- JDBC:使用一個關係數據庫存放用戶驗證數據
- DataSource:相似於JDBC Realm,使用JNDI的方式來從關係數據庫中拿用戶驗證數據,內容最終仍是在一個關係數據庫裏。
- JNDI:使用JNDI來獲取Realm數據,這些數據通常存放在LDAP目錄下。
- JAAS: 使用JAAS來獲取用戶驗證信息
The Host Component
每一個Host Component都是一個容器,每一個<Host>標籤都表示一個virtual host,在默認的<server.xml>中,Host的配置以下:
- <Host name=」localhost」 appBase=」webapps」
- unpackWARs=」true」 autoDeploy=」true」
- xmlValidation=」false」 xmlNamespaceAware=」false」>
這段代碼的意思是:定義一個名爲localhost的虛擬主機,應用程序存放在CATALINA_HOME/webapps目錄中。 unpackWARs=「true」讓tomcat在webapps文件夾中發現war文件時,自動將其解壓。解壓的好處是可使程序運行更快,不解壓也 可使用。
下圖爲virtual host的示意圖
<Host>有這些屬性:
屬性 |
描述 |
必需? |
className |
默認爲org.
apache.catalina.core.StandardHost
|
否 |
appBase |
web應用程序文件存放的位置,相對路徑爲CATALINA_HOMEM |
是 |
autoDeploy |
設爲true,則web.xml發生變化時,tomcat自動從新部署程序。實現這個功能必需容許後臺處理 |
否 |
name |
virtual host的名稱 |
是 |
backgroundProcessingDelay |
跟Engine中的backgroundProcessingDelay相似 |
否 |
deployOnStartup |
若爲true,則當這個Engine啓動時,tomcat將自動部署這個host,默認爲true |
否 |
deployXML |
這個屬性的目的是爲了提升tomcat的安全性,控制web應用程序是否能使用META-INF/contex.xml。若是設爲false,則各應用程序只能訪問
$CATALINA_HOME/conf/<engine>/<host>/<app>.xml。默認值爲True。
|
否 |
errorReportValveClass |
定義host使用的error-reporting Valve,默認值爲
org.apache.catalina.valves.ErrorReportValve
|
否 |
unpackWARs |
tomcat在webapps文件夾中發現war文件時,是否自動將其解壓 |
否 |
workdir |
tomcat使用這個目錄來放工做着的servlet和jsp(以servlet形式),這裏面的servlet都是是編譯好的class文件。默認爲$CATALINA_HOME/work |
否 |
<Host>有這些子標籤
子元素 |
描述 |
數量 |
Context |
爲了實現服務器配置和應用程序配置的分離,通常不會在server.xml中設置這個標籤的內容。全部應用程序的配置均可以 在$CATALINA_HOME/conf/<engine>/<host>目錄下維護,名稱爲:應用程序名.xml。程序員可 以經過在META-INF目錄下維護本身的context.xml,這個context.xml會被自動以「應用程序名.xml」放 到$CATALINA_HOME/conf/<engine>/<host> |
0 or more |
DefaultContext |
當host不知將請求發給哪一個context時,就發給它 |
0 or 1 |
Realm |
這個Host所使用的Realm |
0 or 1 |
Web Application Context Definitions
在tomcat6中,web應用程序的具體配置是在$CATALINA_HOME/conf/<engine name>/<host name>目錄下的「應用程序名.xml」中定義的,在eclipse或netbeans中,用戶能夠在META-INF/context.xml 中作配置,這些IDE會自動在$CATALINA_HOME/conf/<engine name>/<host name>下建立「應用程序名.xml」文件。
在war包(或文件夾)的META-INF中的配置文件叫作嵌入式配置文件(embedded),默認tomcat在部署時使用這些配置文件,管理員能夠經過修改deployXML屬性來禁止解析這種嵌入式配置文件。
默認context.xml文件
在$CATALINA_HOME/conf目錄下的context.xml是tomcat默認的context.xml文件,tomcat下所 有的應用程序都使用這個文件的配置。由於它是公共的,所以裏面的內容必須是全部web應用程序通用的,默認的context.xml內容只有一行:
- <Context>
- <WatchedResource>WEB-INF/web.xml</WatchedResource>
- </Context>
在這裏的web.xml被Context的一個後臺程序監視,一旦發生改變,將從新部署這個Context。
context有如下這些屬性:
屬性 |
描述 |
必需? |
className |
Context的java類,默認爲org.apache.catalina.core.StandardContext |
否 |
allowLinking |
在像linux這種容許符號連接(symbolic link)的操做系統中,這個選項爲True則運行該文件被連接到web應用程序樹以外。在windows中,這個選項必需爲false。默認值爲false |
否 |
antiJARLocking |
使用特殊的類加載器來儘可能避免JAR文件的鎖定,默認爲false。 |
否 |
antiResourceLocking |
使用特殊方法來儘可能避免文件鎖定,默認爲false。 |
否 |
backgroundProcessDelay |
同其餘backgroundProcessDelay |
否 |
catcheMaxSize |
設置資源代碼(resource code)的最大值,默認爲10240,單位爲KB |
否 |
catcheTTL |
驗證cache的間隔時間,單位爲微秒,默認值爲5000 |
否 |
cachingAllowed |
決定靜態資源(配置文件,圖片等)是否能夠加載進cache中,默認爲true |
否 |
caseSensitive |
決定tocmat是否進行大小寫檢查,默認爲true |
否 |
cookies |
使用cookie來進行session管理,默認爲true。若是設爲false,則須要使用url重寫的方式維護session |
否 |
crossContext |
當使用ServletContext.getContext()方法時,容許同一個virtual host下的程序跨Context訪問,默認爲false
|
否 |
docBase |
在這個Context下運行的web應用程序的文檔根目錄,一般被稱爲Context root。若是web應用程序是以war文件的方式部署的,那麼這個屬性的默認值爲webapps/<name of war file>
|
否 |
override |
指示本地的context.xml(war中的META-INF/context.xml)是否能夠覆蓋全局的context.xml(CATALINA_HOME/conf/context.xml),默認值爲false |
否 |
path |
表示web應用程序的context路徑。若是你想將這個web應用程序做爲此host的默認應用程序,使用這個值:「」;默認值爲docBase,war包名,或者應用程序Context文件名 |
否 |
privileged |
默認值爲false,大部分程序這個值設爲false就能夠了 |
否 |
processTlds |
設置當Context啓動時對TLD進行預處理,默認爲true |
否 |
reloadable |
默認值爲false。設置tocmat是否應該監視/WEB-INF/classes和/WEB-INF/lib中的變化,若是有發生改變,則自動從新部署 |
否 |
swallowOutput |
默認爲false。設置System.out和System.error的內容是否應該記錄到日誌文件中 |
否 |
tldNamespacheAware |
設置tld的處理和驗證是不是namespace-aware,默認爲false |
否 |
unloadDelay |
tomcat等待web應用程序卸載的微秒數,默認爲2000 |
否 |
unpackWAR |
默認爲true。設置tomcat自動解壓docBase中的war文件。 |
否 |
useNaming |
默認爲true。給web應用程序建立一個JavaEE-JNDI兼容的 InitialContext。若是web應用程序使用數據庫鏈接,這個選項是必需的 |
否 |
workdir |
爲在這個host中運行的servlet定義一個工做目錄。這個host下的應用程序能夠經過javax.servlet.context.tempdir屬性來活動這個目錄的位置。默認爲CATALINA_HOME/work |
否 |
wrapperClass |
設置一個實現了org.apache.catalina.Wrapper接口的類r來包裝servlets |
否 |
<context>有這些子元素:
子元素 |
描述 |
數量 |
Loader |
配置用於從一個web應用程序中加載類的ClassLoader |
0 or 1 |
Manager |
配置Context的session manager,Session Manager建立,維護並保持服務器端的session。 |
0 or 1 |
Realm |
這個Context中運行的web應用程序使用的Realm |
0 or 1 |
Resources |
用於獲取resource。使用實現org.apache.naming.resources.FileDirContext接口的類來實現。 |
0 or 1 |
WatchedResource |
當特定的資源發生改變時,用於通知AutoDeployer對web應用程序進行從新部署 |
0 or 1 |
身份驗證和tomcat-users.xml
tomcat-users.xml位於$CATALINA_HOME/conf文件夾下,tomcat6使用這個文件來對使用manager工具的用戶 (也就是管理員)進行身份驗證。tomcat6使用UserDatabase Realm來具體實現這個功能。Realm容許修改加載的數據,並能夠經過將這些修改寫回xml的方式來使這些修改持久化。
默認的部署配置文件--web.xml
根據servlet2.5的標準,任何一個servlet都必須在web.xml中註冊,這個文件必須以web.xml放到web應用程序的WEB-INF目錄下。這樣能夠這個web.xml就只對這個web應用程序有做用。
在$CATALINA_HOME/conf下也有一個web.xml,這個web.xml是這個tomcat實例下全部web應用程序均可以使 用的。不過能夠在context中修改orverride屬性,來決定各web應用程序的web.xml是否能夠覆蓋全局的web.xml。
下面是默認的全局web.xml:
- <?xml version=」1.0」 encoding=」ISO-8859-1」?>
- <web-app xmlns=」http://java.sun.com/xml/ns/j2ee」
- xmlns:xsi=」http://www.w3.org/2001/XMLSchema-instance」
- xsi:schemaLocation=」http://java.sun.com/xml/ns/j2ee web-app_2_4.xsd」
- version=」2.4」>
與server.xml不一樣,web.xml能夠用schema進行驗證。
默認Server上靜態資源的配置
在下面的<servlet>標籤中,定義了一個默認的servlet。這個默認的servlet是用來處理全部web應用程序的靜 態資源請求的,也能夠提供目錄展現(directory listing)服務。也就是說,這個servlet至關於一個像apache這樣的http web server。
在默認的web.xml中對默認servlet的配置:
- <servlet>
- <servlet-name>default</servlet-name>
- <servlet-class>
- org.apache.catalina.servlets.DefaultServlet
- </servlet-class>
- <init-param>
- <param-name>debug</param-name>
- <param-value>0</param-value>
- </init-param>
- <init-param>
- <param-name>listings</param-name>
- <param-value>true</param-value>
- </init-param>
- <load-on-startup>1</load-on-startup>
- </servlet>
默認目錄列表和其餘用戶自定義配置
若是你不想提供用戶列表功能,能夠將下面代碼段中的true改成false
- <param-name>listings</param-name>
- <param-value>true</param-value>
默認servlet(default servlet)還有這些屬性:
參數 |
描述 |
listing |
當有到一個目錄的請求時,是否顯示目錄結構,通常設爲true。 |
readonly |
控制是否容許PUT,POST等HTTP寫命令 |
input |
讀取資源時的緩衝區大小,通常爲2KB |
output |
寫資源時的緩衝區大小,通常也爲2KB |
globalXsltFile/localXsltFile |
定義一個顯示目錄列表時使用的xslt。 |
sendfileSize |
tomcat6支持基於某個具體操做系統平臺的異步sendfile()。這個值用來設置使用sendfile()方法的閥值,默認爲48KB。 |
配置invoker servlet
invoker servlet是能夠經過下面這種方式直接訪問的servlet(沒有參數)
http://<host name>/<context path>/servlet/<servlet name>
由於這種方式能夠直接訪問servlet,所以存在必定的安全隱患,因此這種方式應該僅在開發和測試階段使用,也正由於這個緣由,在tomcat6的默認web.xml中invoker servlet這段配置被註釋了起來:
- <!--
- <servlet>
- <servlet-name>invoker</servlet-name>
- <servlet-class>
- org.apache.catalina.servlets.InvokerServlet
- </servlet-class>
- <init-param>
- <param-name>debug</param-name>
- <param-value>0</param-value>
- </init-param>
- <load-on-startup>2</load-on-startup>
- </servlet>
- -->
配置JspServlet(Jasper)
JspServlet的做用是將jsp文件轉爲servlet。這個servlet通常被人們成爲Jasper,Jasper的配置以下:linux
- JspServlet的做用是將jsp文件轉爲servlet。這個servlet通常被人們成爲Jasper,Jasper的配置以下:
- <servlet>
- <servlet-name>jsp</servlet-name>
- <servlet-class>org.apache.jasper.servlet.JspServlet</servlet-class>
- <init-param>
- <param-name>fork</param-name>
- <param-value>false</param-value>
- </init-param>
- <init-param>
- <param-name>xpoweredBy</param-name>
- <param-value>false</param-value>
- </init-param>
- <load-on-startup>3</load-on-startup>
- </servlet>
Jasper還有如下這些啓動參數:
參數 |
描述 |
development |
默認值爲true,說明jsp文件還處於開發階段,所以Jasper應該按modificationTestInterval參數對jsp文件進行檢查,當jsp發生更改時,則對其進行重編譯 |
fork |
默認值爲true。指示使用不一樣的JVM編譯JSP,這樣能夠消除資源競爭和在開發階段的類加載器衝突 |
checkInterval |
單位爲秒,規定Jasper按這個時間間隔檢查jsp是否須要重編譯,默認爲0,指示使用後臺程序處理 |
modificationTestInterval |
主要在development爲true時發揮做用,默認值爲4。Jasper將按這個頻率檢查jsp文件是否能夠驗證是否修改過。 |
compiler |
讀取資源時使用的緩存大小,默認爲2KB |
classdebuginfo |
寫資源時使用的緩存大小,默認爲2KB |
keepgenerated |
默認值爲true。指示Jasper在兩次調用servlet之間在工做目錄中保留那個servlet,這樣能夠大大提升tomcat的效率 |
mappedfilegenStrAsCharArray dumpSmaptrimSpaces supressSmap |
這些是jsp開發者使用的優化和調試選項。 |
scratchDir |
Jasper在編譯jsp時使用的臨時文件夾,默認爲$CATALINA_HOME/work下的一個臨時文件夾 |
xpoweredBy |
默認爲false。功能爲生成X-Power-By頭(header) |
compilerTargetVM |
編譯生成的servlet的目標VM |
compilerSourceVM |
生成servlet的源VM |
SSL和CGI Servlet的配置
在默認的web.xml中,這些Servlet的配置被註釋起來了,若是你想在Standalone模式下的Tomcat中添加Apache-styleserver-side include(SSI),那麼這段註釋就應該被移除。
- <!--
- <servlet>
- <servlet-name>ssi</servlet-name>
- <servlet-class>org.apache.catalina.ssi.SSIServletServlet</servlet-class>
- <init-param>
- <param-name>buffered</param-name>
- <param-value>1</param-value>
- </init-param>
- <init-param>
- <param-name>debug</param-name>
- <param-value>0</param-value>
- </init-param>
- <init-param>
- <param-name>expires</param-name>
- <param-value>666</param-value>
- </init-param>
- <init-param>
- <param-name>isVirtualWebappRelative</param-name>
- <param-value>0</param-value>
- </init-param>
- <load-on-startup>4</load-on-startup>
- </servlet>
- -->
下面的這個配置也是有關使tomcat以Standalone方式處理CGI請求的。
- <!--
- <servlet>
- <servlet-name>cgi</servlet-name>
- <servlet-class>org.apache.catalina.servlets.CGIServlet</servlet-class>
- <init-param>
- <param-name>clientInputTimeout</param-name>
- <param-value>100</param-value>
- </init-param>
- <init-param>
- <param-name>debug</param-name>
- <param-value>6</param-value>
- </init-param>
- <init-param>
- <param-name>cgiPathPrefix</param-name>
- <param-value>WEB-INF/cgi</param-value>
- </init-param>
- <load-on-startup>5</load-on-startup>
- </servlet>
- -->
Servlet Mappings
<servlet-mapping>用來講明如何處理相應的URL請求,如:
- <servlet-mapping>
- <servlet-name>default</servlet-name>
- <url-pattern>/</url-pattern>
- </servlet-mapping>
規則是這樣的,若是傳進來的url符合/模式,則傳給名爲default的Servlet處理。
例如,若是主機名爲www.example.com,而且使用Standalone模式運行的tocmat,則下面這個請求將被傳給<servlet-name>爲default的Servlet:
www.example.com/<context path>/
若是沒在<Context>中明確標明,則<context path>的值爲war文件名
根據前面<servlet>中定義的<servlet-name>對應的servlet,能夠知道tomcat將使用org.apache.catalina.servlets.DefaultServlet來處理這個模式的請求
下面的這兩個<servlet-mapping>標籤指示全部包含*.jsp和*.jspx的url都將傳給名爲jsp的servlet處理。
- <servlet-mapping>
- <servlet-name>jsp</servlet-name>
- <url-pattern>*.jsp</url-pattern>
- </servlet-mapping>
- <servlet-mapping>
- <servlet-name>jsp</servlet-name>
- <url-pattern>*.jspx</url-pattern>
- </servlet-mapping>
server.xml,context.xml和web.xml是如何一塊兒協同工做的
下面這幅圖是對tomcat處理一個http請求的一個示意
SSI和CGI mappings
在web.xml中,SSI和CGI的<servlet-mapping>的配置被註釋掉了,若是tocmat是在Standalone模式下運行,而且要處理SSI和CGI請求,那麼這幾行註釋能夠去掉:
- <!--
- <servlet-mapping>
- <servlet-name>ssi</servlet-name>
- <url-pattern>*.shtml</url-pattern>
- </servlet-mapping>
- -->
- <!--
- <servlet-mapping>
- <servlet-name>cgi</servlet-name>
- <url-pattern>/cgi-bin/*</url-pattern>
- </servlet-mapping>
- -->
Session的超時配置
<session-config>標籤配置tomcat6在服務器端維持一個表示客戶端的session的時間,單位爲分鐘。
- <session-config>
- <session-timeout>30</session-timeout>
- </session-config>
MIME Mapping
- <mime-mapping>
- <extension>abs</extension>
- <mime-type>audio/x-mpeg</mime-type>
- </mime-mapping>
- <mime-mapping>
- <extension>ai</extension>
- <mime-type>application/postscript</mime-type>
- </mime-mapping>
- <mime-mapping>
- <extension>aif</extension>
- <mime-type>audio/x-aiff</mime-type>
- </mime-mapping>
- <mime-mapping>
- <extension>aifc</extension>
- <mime-type>audio/x-aiff</mime-type>
- </mime-mapping>
- ... more mime mappings...
- <mime-mapping>
- <extension>Z</extension>
- <mime-type>application/x-compress</mime-type>
- </mime-mapping>
- <mime-mapping>
- <extension>z</extension>
- <mime-type>application/x-compress</mime-type>
- </mime-mapping>
- <mime-mapping>
- <extension>zip</extension>
- <mime-type>application/zip</mime-type>
- </mime-mapping>
模擬Apache Web Server:首頁定義
- <welcome-file-list>
- <welcome-file>index.html</welcome-file>
- <welcome-file>index.htm</welcome-file>
- <welcome-file>index.jsp</welcome-file>
- </welcome-file-list>
- </web-app>
catalina.policy:訪問控制文件
Tomcat6使用的時內置的Java2安全模型,這個安全模型的核心思想是:
Any access to system resources that is not explicitly allowed is prohibited.
翻譯過來是:除非明確受權,不然禁止訪問
默認tocmat啓動時是不使用這種安全策略的,除非使用這個參數啓動:
> startup -security
在這個文件中,授予權限的語法通常是:
- grant <security principal> { permission list... };
- 下面是catalina.policy中的一個片斷:
- // These permissions apply to javac
- grant codeBase 「file:${java.home}/lib/-」 {
- permission java.security.AllPermission;
- };
- // These permissions apply to all shared system extensions
- grant codeBase 「file:${java.home}/jre/lib/ext/-」 {
- permission java.security.AllPermission;
- };
- // These permissions apply to javac when ${java.home] points at $JAVA_HOME/jre
- grant codeBase 「file:${java.home}/../lib/-」 {
- permission java.security.AllPermission;
- };
- // These permissions apply to all shared system extensions when
- // ${java.home} points at $JAVA_HOME/jre
- grant codeBase 「file:${java.home}/lib/ext/-」 {
- permission java.security.AllPermission;
- };
這段代碼賦予全部資源訪問java編譯器全部資源的權利
- // These permissions apply to the daemon code
- grant codeBase 「file:${catalina.home}/bin/commons-daemon.jar」 {
- permission java.security.AllPermission;
- };
- // These permissions apply to the logging API
- grant codeBase 「file:${catalina.home}/bin/tomcat-juli.jar」 {
- permission java.security.AllPermission;
- };
- // These permissions apply to the server startup code
- grant codeBase 「file:${catalina.home}/bin/bootstrap.jar」 {
- permission java.security.AllPermission;
- };
- // These permissions apply to the servlet API classes
- // and those that are shared across all class loaders
- // located in the 「lib」 directory
- grant codeBase 「file:${catalina.home}/lib/-」 {
- permission java.security.AllPermission;
- };
這段代碼將Server code,logging code以及API庫的訪問權限賦予全部資源。
最後這組代碼是有關web應用程序的默認權限的。與前面的不一樣,這裏的限制更加嚴格,由於它們從沒有得到java.security.AllPermission受權。
第一部分是有關JDBC和JNDI的
- grant {
- // Required for JNDI lookup of named JDBC DataSource’s and
- // javamail named MimePart DataSource used to send mail
- permission java.util.PropertyPermission 「java.home」, 「read」;
- permission java.util.PropertyPermission 「java.naming.*」, 「read」;
- permission java.util.PropertyPermission 「javax.sql.*」, 「read」;
第二部分是授予對操做系統信息的讀權限
/
- / OS Specific properties to allow read access
- permission java.util.PropertyPermission 「os.name」, 「read」;
- permission java.util.PropertyPermission 「os.version」, 「read」;
- permission java.util.PropertyPermission 「os.arch」, 「read」;
- permission java.util.PropertyPermission 「file.separator」, 「read」;
- permission java.util.PropertyPermission 「path.separator」, 「read」;
- permission java.util.PropertyPermission 「line.separator」, 「read」;
第三部分代碼賦予對一些JVM相關屬性的讀權限
- // JVM properties to allow read access
- permission java.util.PropertyPermission 「java.version」, 「read」;
- permission java.util.PropertyPermission 「java.vendor」, 「read」;
- permission java.util.PropertyPermission 「java.vendor.url」, 「read」;
- permission java.util.PropertyPermission 「java.class.version」, 「read」;
- permission java.util.PropertyPermission 「java.specification.version」,
- 「read」;
- permission java.util.PropertyPermission 「java.specification.vendor」,
- 「read」;
- permission java.util.PropertyPermission 「java.specification.name」, 「read」;
- permission java.util.PropertyPermission 「java.vm.specification.version」,
- 「read」;
- permission java.util.PropertyPermission 「java.vm.specification.vendor」,
- 「read」;
- permission java.util.PropertyPermission 「java.vm.specification.name」,
- 「read」;
- permission java.util.PropertyPermission 「java.vm.version」, 「read」;
- permission java.util.PropertyPermission 「java.vm.vendor」, 「read」;
- permission java.util.PropertyPermission 「java.vm.name」, 「read」;
第四部分是有關JMX的
- // Required for OpenJMX
- permission java.lang.RuntimePermission 「getAttribute」;
最後這兩部分是有關XML parser和預編譯JSP的,在編碼階段常用
- permission java.util.PropertyPermission 「jaxp.debug」, 「read」;
- permission java.lang.RuntimePermission
- 「accessClassInPackage.org.apache.jasper.runtime」;
- permission java.lang.RuntimePermission
- 「accessClassInPackage.org.apache.jasper.runtime.*」;};
catalina.properties:更好的訪問控制
tocmat以安全模式啓動時,最後加載的一個文件就是catalina.properties,這個文件容許管理員在java package(java 包)一級上進行權限控制。當有非法請求到達時,java package這一級的控制能夠拋出SecurityException異常。
在catalina.properties中的這幾行代碼定義了限制訪問的包:
- package.access=sun.,org.apache.catalina.,org.apache.coyote.,org.apache.tomcat.,
- org.apache.jasper.,sun.beans.
- package.definition=sun.,java.,org.apache.catalina.,org.apache.coyote.,
- org.apache.tomcat.,org.apache.jasper.
這幾行定義了comon,server和shared的類加載器的路徑:
- common.loader=${catalina.home}/lib,${catalina.home}/lib/*.jar
- server.loader=
- shared.loader=
catalina.properties的最後一行開啓了string cache的使用。這個cache將在ByteChunk.toString()和CharChunk.toString()方法中使用
tomcat.util.buf.StringCache.byte.enabled=true
配置(Configuration)和管理(management)的不一樣
簡單地說,配置是在Tomcat啓動以前進行的,而管理則是在Tomcat運行過程當中進行的。