編者按現在開發Java Web應用建立和部署Web內容是一件很簡單的工作使用Jakarta Tomcat作為Servlet和JSP容器的人已經遍及全世界Tomcat具有免費跨平台等諸多特性並且更新得很快現在非常的流行
你所需要做的就是按照你的需求配置Tomcat只要你正確配置Tomcat一般都能適合你的要求下面是一系列關於Tomcat的配置技巧這些技巧源自於我的書《Tomcat權威指南》希望對你有所幫助?? Jason Brittain
. 配置系統管理(Admin Web Application)
大多數商業化的JEE服務器都提供一個功能強大的管理界面且大都采用易於理解的Web應用界面Tomcat按照自己的方式同樣提供一個成熟的管理工具並且絲毫不遜於那些商業化的競爭對手Tomcat的Admin Web Application最初在版本時出現當時的功能包括管理contextdata sourceuser和group等當然也可以管理像初始化參數usergrouprole的多種數據庫管理等在後續的版本中這些功能將得到很大的擴展但現有的功能已經非常實用了
Admin Web Application被定義在自動部署文件CATALINA_BASE/webapps/adminxml (譯者注CATALINA_BASE即tomcat安裝目錄下的server目錄)
你必須編輯這個文件以確定Context中的docBase參數是絕對路徑也就是說CATALINA_BASE/webapps/adminxml 的路徑是絕對路徑作為另外一種選擇你也可以刪除這個自動部署文件而在serverxml文件中建立一個Admin Web Application的context效果是一樣的你不能管理Admin Web Application這個應用換而言之除了刪除CATALINA_BASE/webapps/adminxml 你可能什麼都做不了
如果你使用UserDatabaseRealm(默認)你將需要添加一個user以及一個role到CATALINA_BASE/conf/tomcatusersxml 文件中你編輯這個文件添加一個名叫admin的role 到該文件中如下
<role name=admin/>
你同樣需要有一個用戶並且這個用戶的角色是admin象存在的用戶那樣添加一個用戶(改變密碼使其更加安全)
<user name=admin password=deep_dark_secret roles=admin/>
當你完成這些步驟後請重新啟動Tomcat訪問http://localhost:/admin你將看到一個登錄界面Admin Web Application采用基於容器管理的安全機制並采用了Jakarta Struts框架一旦你作為admin角色的用戶登錄管理界面你將能夠使用這個管理界面配置Tomcat
.配置應用管理(Manager Web Application)
Manager Web Application讓你通過一個比Admin Web Application更為簡單的用戶界面執行一些簡單的Web應用任務
Manager Web Application被被定義在一個自動部署文件中 CATALINA_BASE/webapps/managerxml
你必須編輯這個文件以確保context的docBase參數是絕對路徑也就是說CATALINA_HOME/server/webapps/manager的絕對路徑 (譯者注CATALINA_HOME即tomcat安裝目錄)
如果你使用的是UserDatabaseRealm那麼你需要添加一個角色和一個用戶到CATALINA_BASE/conf/tomcatusersxml文件中接下來編輯這個文件添加一個名為manager的角色到該文件中
<role name=manager>
你同樣需要有一個角色為manager的用戶像已經存在的用戶那樣添加一個新用戶(改變密碼使其更加安全)
<user name=manager password=deep_dark_secret roles=manager/>
然後重新啟動Tomcat訪問http://localhost/manager/list將看到一個很樸素的文本型管理界面或者訪問http://localhost/manager/html/list將看到一個HMTL的管理界面不管是哪種方式都說明你的Manager Web Application現在已經啟動了
Manager application讓你可以在沒有系統管理特權的基礎上安裝新的Web應用以用於測試如果我們有一個新的web應用位於/home/user/hello下在並且想把它安裝到 /hello下為了測試這個應用我們可以這麼做在第一個文件框中輸入/hello(作為訪問時的path)在第二個文本框中輸入file:/home/user/hello(作為Config URL)
Manager application還允許你停止重新啟動移除以及重新部署一個web應用停止一個應用使其無法被訪問當有用戶嘗試訪問這個被停止的應用時將看到一個的錯誤?? This application is not currently available
移除一個web應用只是指從Tomcat的運行拷貝中刪除了該應用如果你重新啟動Tomcat被刪除的應用將再次出現(也就是說移除並不是指從硬盤上刪除)
.部署一個web應用
有兩個辦法可以在系統中部署web服務
> 拷貝你的WAR文件或者你的web應用文件夾(包括該web的所有內容)到$CATALINA_BASE/webapps目錄下
> 為你的web服務建立一個只包括context內容的XML片斷文件並把該文件放到$CATALINA_BASE/webapps目錄下這個web應用本身可以存儲在硬盤上的任何地方
如果你有一個WAR文件你若想部署它則只需要把該文件簡單的拷貝到CATALINA_BASE/webapps目錄下即可文件必須以war作為擴展名一旦Tomcat監聽到這個文件它將(缺省的)解開該文件包作為一個子目錄並以WAR文件的文件名作為子目錄的名字接下來Tomcat將在內存中建立一個context就好象你在serverxml文件裡建立一樣當然其他必需的內容將從serverxml中的DefaultContext獲得
部署web應用的另一種方式是寫一個Context XML片斷文件然後把該文件拷貝到CATALINA_BASE/webapps目錄下一個Context片斷並非一個完整的XML文件而只是一個context元素以及對該應用的相應描述這種片斷文件就像是從serverxml中切取出來的context元素一樣所以這種片斷被命名為context片斷
舉個例子如果我們想部署一個名叫MyWebAppwar的應用該應用使用realm作為訪問控制方式我們可以使用下面這個片斷
<!
Context fragment for deploying MyWebAppwar
>
<Context path=/demo docBase=webapps/MyWebAppwar
debug= privileged=true>
<Realm className=orgapachecatalinarealmUserDatabaseRealm
resourceName=UserDatabase/>
</Context>
把該片斷命名為MyWebAppxml然後拷貝到CATALINA_BASE/webapps目錄下
這種context片斷提供了一種便利的方法來部署web應用你不需要編輯serverxml除非你想改變缺省的部署特性安裝一個新的web應用時不需要重啟動Tomcat
.配置虛擬主機(Virtual Hosts)
關於serverxml中Host這個元素只有在你設置虛擬主機的才需要修改虛擬主機是一種在一個web服務器上服務多個域名的機制對每個域名而言都好象獨享了整個主機實際上大多數的小型商務網站都是采用虛擬主機實現的這主要是因為虛擬主機能直接連接到Internet並提供相應的帶寬以保障合理的訪問響應速度另外虛擬主機還能提供一個穩定的固定IP
基於名字的虛擬主機可以被建立在任何web服務器上建立的方法就是通過在域名服務器(DNS)上建立IP地址的別名並且告訴web服務器把去往不同域名的請求分發到相應的網頁目錄因為這篇文章主要是講Tomcat我們不准備介紹在各種操作系統上設置DNS的方法如果你在這方面需要幫助請參考《DNS and Bind》一書作者是Paul Albitz and Cricket Liu (OReilly)為了示范方便我將使用一個靜態的主機文件因為這是測試別名最簡單的方法
在Tomcat中使用虛擬主機你需要設置DNS或主機數據為了測試為本地IP設置一個IP別名就足夠了接下來你需要在serverxml中添加幾行內容如下
<Server port= shutdown=SHUTDOWN debug=>
<Service name=TomcatStandalone>
<Connector className=orgapachecoyotetomcatCoyoteConnector
port= minProcessors= maxProcessors=
enableLookups=true redirectPort=/>
<Connector className=orgapachecoyotetomcatCoyoteConnector
port= minProcessors= maxProcessors=
acceptCount= debug= scheme=https secure=true/>
<Factory className=orgapachecoyotetomcatCoyoteServerSocketFactory
clientAuth=false protocol=TLS />
</Connector>
<Engine name=Standalone defaultHost=localhost debug=>
<! This Host is the default Host >
<Host name=localhost debug= appBase=webapps
unpackWARs=true autoDeploy=true>
<Context path= docBase=ROOT debug=/>
<Context path=/orders docBase=/home/ian/orders debug=
reloadable=true crossContext=true>
</Context>
</Host>
<! This Host is the first Virtual Host: wwwexamplecom >
<Host name=wwwexamplecom appBase=/home/example/webapp>
<Context path= docBase=/>
</Host>
</Engine>
</Service>
</Server>
Tomcat的serverxml文件在初始狀態下只包括一個虛擬主機但是它容易被擴充到支持多個虛擬主機在前面的例子中展示的是一個簡單的serverxml版本其中粗體部分就是用於添加一個虛擬主機每一個Host元素必須包括一個或多個context元素所包含的context元素中必須有一個是默認的context這個默認的context的顯示路徑應該為空(例如path=)
.配置基礎驗證(Basic Authentication)
容器管理驗證方法控制著當用戶訪問受保護的web應用資源時如何進行用戶的身份鑒別當一個web應用使用了Basic Authentication(BASIC參數在webxml文件中automethod元素中設置)而有用戶訪問受保護的web應用時Tomcat將通過HTTP Basic Authentication方式彈出一個對話框要求用戶輸入用戶名和密碼在這種驗證方法中所有密碼將被以位的編碼方式在網絡上傳輸
注意使用Basic Authentication通過被認為是不安全的因為它沒有強健的加密方法除非在客戶端和服務器端都使用HTTPS或者其他密碼加密碼方式(比如在一個虛擬私人網絡中)若沒有額外的加密方法網絡管理員將能夠截獲(或濫用)用戶的密碼但是如果你是剛開始使用Tomcat或者你想在你的web應用中測試一下基於容器的安全管理Basic Authentication還是非常易於設置和使用的只需要添加<securityconstraint>和<loginconfig>兩個元素到你的web應用的webxml文件中並且在CATALINA_BASE/conf/tomcatusersxml 文件中添加適當的<role>和<user>即可然後重新啟動Tomcat
下面例子中的webxml摘自一個俱樂部會員網站系統該系統中只有member目錄被保護起來並使用Basic Authentication進行身份驗證請注意這種方式將有效的代替Apache web服務器中的htaccess文件
<!
Define the Membersonly area by defining
a Security Constraint on this Application and
mapping it to the subdirectory (URL) that we want
to restrict
>
<securityconstraint>
<webresourcecollection>
<webresourcename>
Entire Application
</webresourcename>
<urlpattern>/members/*</urlpattern>
</webresourcecollection>
<authconstraint>
<rolename>member</rolename>
</authconstraint>
</securityconstraint>
<! Define the Login Configuration for this Application >
<loginconfig>
<authmethod>BASIC</authmethod>
<realmname>My Club Membersonly Area</realmname>
</loginconfig>
.配置單點登錄(Single SignOn)
一旦你設置了realm和驗證的方法你就需要進行實際的用戶登錄處理一般說來對用戶而言登錄系統是一件很麻煩的事情你必須盡量減少用戶登錄驗證的次數作為缺省的情況當用戶第一次請求受保護的資源時每一個web應用都會要求用戶登錄如果你運行了多個web應用並且每個應用都需要進行單獨的用戶驗證那這看起來就有點像你在與你的用戶搏斗用戶們不知道怎樣才能把多個分離的應用整合成一個單獨的系統所有他們也就不知道他們需要訪問多少個不同的應用只是很迷惑為什麼總要不停的登錄
Tomcat 的single signon特性允許用戶在訪問同一虛擬主機下所有web應用時只需登錄一次為了使用這個功能你只需要在Host上添加一個SingleSignOn Valve元素即可如下所示
<Valve className=orgapachecatalinaauthenticatorSingleSignOn
debug=/>
在Tomcat初始安裝後serverxml的注釋裡面包括SingleSignOn Valve配置的例子你只需要去掉注釋即可使用那麼任何用戶只要登錄過一個應用則對於同一虛擬主機下的所有應用同樣有效
使用single signon valve有一些重要的限制
> value必須被配置和嵌套在相同的Host元素裡並且所有需要進行單點驗證的web應用(必須通過context元素定義)都位於該Host下
> 包括共享用戶信息的realm必須被設置在同一級Host中或者嵌套之外
> 不能被context中的realm覆蓋
> 使用單點登錄的web應用最好使用一個Tomcat的內置的驗證方式(被定義在webxml中的<authmethod>中)這比自定義的驗證方式強Tomcat內置的的驗證方式包括basicdigestform和clientcert
> 如果你使用單點登錄還希望集成一個第三方的web應用到你的網站中來並且這個新的web應用使用它自己的驗證方式而不使用容器管理安全那你基本上就沒招了你的用戶每次登錄原來所有應用時需要登錄一次並且在請求新的第三方應用時還得再登錄一次當然如果你擁有這個第三方web應用的源碼而你又是一個程序員你可以修改它但那恐怕也不容易做
> 單點登錄需要使用cookies
.配置用戶定制目錄(Customized User Directores)
一些站點允許個別用戶在服務器上發布網頁例如一所大學的學院可能想給每一位學生一個公共區域或者是一個ISP希望給一些web空間給他的客戶但這又不是虛擬主機在這種情況下一個典型的方法就是在用戶名前面加一個特殊字符(~)作為每位用戶的網站比如
http://wwwcsmyuniversityedu/~username
http://membersmybigispcom/~username
Tomcat提供兩種方法在主機上映射這些個人網站主要使用一對特殊的Listener元素Listener的className屬性應該是orgapachecatalinastartupUserConfiguserClass屬性應該是幾個映射類之一如果你的系統是Unix它將有一個標准的/etc/passwd文件該文件中的帳號能夠被運行中的Tomcat很容易的讀取該文件指定了用戶的主目錄使用PasswdUserDatabase 映射類
<Listener className=orgapachecatalinastartupUserConfig
directoryName=public_html
userClass=orgapachecatalinastartupPasswdUserDatabase/>
web文件需要放置在像/home/users/ian/public_html 或者 /users/jbrittain/public_html一樣的目錄下面當然你也可以改變public_html 到其他任何子目錄下
實際上這個用戶目錄根本不一定需要位於用戶主目錄下裡面如果你沒有一個密碼文件但你又想把一個用戶名映射到公共的像/home一樣目錄的子目錄裡面則可以使用HomesUserDatabase類
<Listener className=orgapachecatalinastartupUserConfig
directoryName=public_html homeBase=/home
userClass=orgapachecatalinastartupHomesUserDatabase/>
這樣一來web文件就可以位於像/home/ian/public_html 或者 /home/jasonb/public_html一樣的目錄下這種形式對Windows而言更加有利你可以使用一個像c:home這樣的目錄
這些Listener元素如果出現則必須在Host元素裡面而不能在context元素裡面因為它們都用應用於Host本身
.在Tomcat中使用CGI腳本
Tomcat主要是作為Servlet/JSP容器但它也有許多傳統web服務器的性能支持通用網關接口(Common Gateway Interface即CGI)就是其中之一CGI提供一組方法在響應浏覽器請求時運行一些擴展程序CGI之所以被稱為通用是因為它能在大多數程序或腳本中被調用包括PerlPythonawkUnix shell scripting等甚至包括Java當然你大概不會把一個Java應用程序當作CGI來運行畢竟這樣太過原始一般而言開發Servlet總要比CGI具有更好的效率因為當用戶點擊一個鏈接或一個按鈕時你不需要從操作系統層開始進行處理
Tomcat包括一個可選的CGI Servlet允許你運行遺留下來的CGI腳本
為了使Tomcat能夠運行CGI你必須做如下幾件事
> 把servletscgirenametojar (在CATALINA_HOME/server/lib/目錄下)改名為servletscgijar處理CGI的servlet應該位於Tomcat的CLASSPATH下
> 在Tomcat的CATALINA_BASE/conf/webxml 文件中把關於<servletname> CGI的那段的注釋去掉(默認情況下該段位於第行)
> 同樣在Tomcat的CATALINA_BASE/conf/webxml文件中把關於對CGI進行映射的那段的注釋去掉(默認情況下該段位於第行)注意這段內容指定了HTML鏈接到CGI腳本的訪問方式
> 你可以把CGI腳本放置在WEBINF/cgi 目錄下(注意WEBINF是一個安全的地方你可以把一些不想被用戶看見或基於安全考慮不想暴露的文件放在此處)或者你也可以把CGI腳本放置在context下的其他目錄下並為CGI Servlet調整cgiPathPrefix初始化參數這就指定的CGI Servlet的實際位置且不能與上一步指定的URL重名
> 重新啟動Tomcat你的CGI就可以運行了
在Tomcat中CGI程序缺省放置在WEBINF/cgi目錄下正如前面所提示的那樣WEBINF目錄受保護的通過客戶端的浏覽器無法窺探到其中內容所以對於放置含有密碼或其他敏感信息的CGI腳本而言這是一個非常好的地方為了兼容其他服務器盡管你也可以把CGI腳本保存在傳統的/cgibin目錄但要知道在這些目錄中的文件有可能被網上好奇的沖浪者看到另外在Unix中請確定運行Tomcat的用戶有執行CGI腳本的權限
.改變Tomcat中的JSP編譯器(JSP Compiler)
在Tomcat (或更高版本大概)JSP的編譯由包含在Tomcat裡面的Ant程序控制器直接執行這聽起來有一點點奇怪但這正是Ant有意為之的一部分有一個API文檔指導開發者在沒有啟動一個新的JVM的情況下使用Ant這是使用Ant進行Java開發的一大優勢另外這也意味著你現在能夠在Ant中使用任何javac支持的編譯方式這裡有一個關於Apache Ant使用手冊的javac page列表使用起來是容易的因為你只需要在<initparam> 元素中定義一個名字叫compiler並且在value中有一個支持編譯的編譯器名字示例如下
<servlet>
<servletname>jsp</servletname>
<servletclass>
orgapachejasperservletJspServlet
</servletclass>
<initparam>
<paramname>logVerbosityLevel</paramname>
<paramvalue>WARNING</paramvalue>
</initparam>
<initparam>
<paramname>compiler</paramname>
<paramvalue>jikes</paramvalue>
</initparam>
<loadonstartup></loadonstartup>
</servlet>
當然給出的編譯器必須已經安裝在你的系統中並且CLASSPATH可能需要設置那處決於你選擇的是何種編譯器
.限制特定主機訪問(Restricting Access to Specific Hosts)
有時你可能想限制對Tomcat web應用的訪問比如你希望只有你指定的主機或IP地址可以訪問你的應用這樣一來就只有那些指定的的客戶端可以訪問服務的內容了為了實現這種效果Tomcat提供了兩個參數供你配置RemoteHostValve 和RemoteAddrValve
通過配置這兩個參數可以讓你過濾來自請求的主機或IP地址並允許或拒絕哪些主機/IP與之類似的在Apache的httpd文件裡有對每個目錄的允許/拒絕指定
例如你可以把Admin Web application設置成只允許本地訪問設置如下
<Context path=/path/to/secret_files >
<Valve className=orgapachecatalinavalvesRemoteAddrValve
allow= deny=/>
</Context>
如果沒有給出允許主機的指定那麼與拒絕主機匹配的主機就會被拒絕除此之外的都是允許的與之類似如果沒有給出拒絕主機的指定那麼與允許主機匹配的主機就會被允許除此之外的都是拒絕的
作者簡介
Jason Brittain是CollabNet公司的一名資深軟件工程師主要負責軟件底層架構的開發他已經為Apache Jakarta項目做了很多貢獻多年以來他一直是一名積極的開源軟件開發者
Ian F Darwin已經在計算機行業工作了年從年開始使用Unix從年開始使用Java從年開始使用OpenBSD他是兩本Oreilly圖書的作者Checking C Programs with lint 和 Java Cookbook還與Jason Brittain合著了Tomcat: The Definitive Guide
From:http://tw.wingwit.com/Article/program/Java/ky/201311/29071.html