Apache Tomcat与jBoss一样,默认也会运行在8080端口。它提供的Tomcat Manager的作用与JMX-Console类似,管理员也可以在Tomcat Manager中部署War包。
Tomcat Manager部署War包需要有Manager权限,而这一权限是在配置文件中定义的。
cat tomcat-users.xml
需要由管理员修改此文件,定义出manager角色:
<user username="manager" password="!@xxx" roles="manager"/>
但是,像下面这种配置,就存在安全隐患了:
<?xml version='1.0' encoding='uft-8'?>
<tomcat-users>
<role rolename="tomcat">
<role rolename="manager">
<user username="tomcat" password="tomcat" roles="tomcat,manager">
</tomcat-users>
它直接将tomcat用户添加为manager角色,而tomcat用户的密码很可能是一个默认密码。这种配置违背了“最小权限原则”。