Docker构建的tomcat工程上传文件,访问报403权限问题
最近一个老工程因为要坐Apache Shiro升级(因为漏洞扫描高危了),结果发现shiro的版本升级到1.6以上需要jre8 以上才可以,不得已需要升级一下工程的jdk版本。以下记录一下升级过程中遇到的一些坑。
1.因为工程是通过docker进行镜像打包以及发布的。所以基本构建是基于dockerFile来进行,当时为了省事,tomcat镜像是采用的官方镜像库中的那种,也就是tomcat+jre一体的。
想升级jdk版本,就只能升级tomcat。既然是升级嘛,就直接拉了镜像的最新版,进行发布,修改后,程序运行一切正常,本以为这就完事了。
2.第二天业务就反馈,上传的图片展示不出来了。上去看,发现新上传的图片访问都报403错误了,也就是普遍的权限不足的错误,看服务器查看,确实新上传的图片权限只有640,没有读权限。当时第一反应就是,谁改了nginx配置,或者服务器权限配置?但是查看一番,发现配置全都没有更改。最后经过排查,以及查阅官方文档,tomcat8 下面catalina.sh 里面注释
# UMASK (Optional) Override Tomcat's default UMASK of 0027
然后我在使用的时候也没有更改tomcat配置所以导致了这个问题。
解决方案有很多:
- 更改tomcat版本可以用tomcat7+jre8的,问题自然就解决了。
- 修改tomcat配置文件,也就是修改catalina.sh里面的配置:改默认权限为0022
# Set UMASK unless it has been overridden
if [ -z "$UMASK" ]; then
UMASK="0022"
fi
umask $UMASK
当然,此次为了节省麻烦,还是直接采用了第一种方式来解决。
最后附上我这边构建使用的DockerFile以供参考
# 这是最新版
FROM tomcat:latest
MAINTAINER "extendsGod"
ENV TZ=Asia/Shanghai
RUN mkdir -p /usr/local/tomcat/webapps/balaallla/
RUN mkdir -p /opt/aaa/aaa/
RUN ln -snf /usr/share/aaa/$TZ /etc/aaa && echo $TZ > /etc/aaa
ADD target/工程 /usr/local/tomcat/webapps/工程/