tomcat配置技巧

最新推荐文章于 2024-03-03 14:25:58 发布

wljcom

最新推荐文章于 2024-03-03 14:25:58 发布

阅读量1.7k

点赞数

分类专栏： java/jsp/j2ee 文章标签： tomcat application cgi servlet authentication manager

本文链接：https://blog.csdn.net/wljcom/article/details/600410

版权

java/jsp/j2ee 专栏收录该内容

8 篇文章 0 订阅

订阅专栏

编者按：现在开发Java Web应用，建立和部署Web内容是一件很简单的工作。使用Jakarta Tomcat作为Servlet和JSP容器的人已经遍及全世界。

Tomcat具有免费、跨平台等诸多特性，并且更新得很快，现在非常的流行。

你所需要做的就是：按照你的需求配置Tomcat，只要你正确配置，Tomcat一般都能适合你的要求。下面是一系列关于Tomcat的配置技巧，这些

技巧源自于我的书：《Tomcat权威指南》，希望对你有所帮助。?? Jason Brittain

1．配置系统管理（Admin Web Application）

大多数商业化的J2EE服务器都提供一个功能强大的管理界面，且大都采用易于理解的Web应用界面。Tomcat按照自己的方式，同样提供一个成熟

的管理工具，并且丝毫不逊于那些商业化的竞争对手。Tomcat的Admin Web Application最初在4.1版本时出现，当时的功能包括管理context、

data source、user和group等。当然也可以管理像初始化参数，user、group、role的多种数据库管理等。在后续的版本中，这些功能将得到很

大的扩展，但现有的功能已经非常实用了。

Admin Web Application被定义在自动部署文件：CATALINA_BASE/webapps/admin.xml 。

（译者注：CATALINA_BASE即tomcat安装目录下的server目录）

你必须编辑这个文件，以确定Context中的docBase参数是绝对路径。也就是说，CATALINA_BASE/webapps/admin.xml 的路径是绝对路径。作为

另外一种选择，你也可以删除这个自动部署文件，而在server.xml文件中建立一个Admin Web Application的context，效果是一样的。你不能

管理Admin Web Application这个应用，换而言之，除了删除CATALINA_BASE/webapps/admin.xml ，你可能什么都做不了。

如果你使用UserDatabaseRealm（默认），你将需要添加一个user以及一个role到CATALINA_BASE/conf/tomcat-users.xml 文件中。你编辑这个

文件，添加一个名叫“admin”的role 到该文件中，如下：

你同样需要有一个用户，并且这个用户的角色是“admin”。象存在的用户那样，添加一个用户（改变密码使其更加安全）：

当你完成这些步骤后，请重新启动Tomcat，访问http://localhost:8080/admin，你将看到一个登录界面。Admin Web Application采用基于容

器管理的安全机制，并采用了Jakarta Struts框架。一旦你作为“admin”角色的用户登录管理界面，你将能够使用这个管理界面配置Tomcat。

2．配置应用管理（Manager Web Application）

Manager Web Application让你通过一个比Admin Web Application更为简单的用户界面，执行一些简单的Web应用任务。

Manager Web Application被被定义在一个自动部署文件中：

CATALINA_BASE/webapps/manager.xml 。

你必须编辑这个文件，以确保context的docBase参数是绝对路径，也就是说CATALINA_HOME/server/webapps/manager的绝对路径。

（译者注：CATALINA_HOME即tomcat安装目录）

如果你使用的是UserDatabaseRealm，那么你需要添加一个角色和一个用户到CATALINA_BASE/conf/tomcat-users.xml文件中。接下来，编辑这

个文件，添加一个名为“manager”的角色到该文件中：

你同样需要有一个角色为“manager”的用户。像已经存在的用户那样，添加一个新用户（改变密码使其更加安全）：

然后重新启动Tomcat，访问http://localhost/manager/list，将看到一个很朴素的文本型管理界面，或者访问

http://localhost/manager/html/list，将看到一个HMTL的管理界面。不管是哪种方式都说明你的Manager Web Application现在已经启动了。

Manager application让你可以在没有系统管理特权的基础上，安装新的Web应用，以用于测试。如果我们有一个新的web应用位

于/home/user/hello下在，并且想把它安装到 /hello下，为了测试这个应用，我们可以这么做，在第一个文件框中输入“/hello”（作为访问

时的path），在第二个文本框中输入“file:/home/user/hello”（作为Config URL）。

Manager application还允许你停止、重新启动、移除以及重新部署一个web应用。停止一个应用使其无法被访问，当有用户尝试访问这个被停

止的应用时，将看到一个503的错误??“503 - This application is not currently available”。

移除一个web应用，只是指从Tomcat的运行拷贝中删除了该应用，如果你重新启动Tomcat，被删除的应用将再次出现（也就是说，移除并不是指

从硬盘上删除）。

3．部署一个web应用

有两个办法可以在系统中部署web服务。

1> 拷贝你的WAR文件或者你的web应用文件夹（包括该web的所有内容）到$CATALINA_BASE/webapps目录下。

2> 为你的web服务建立一个只包括context内容的XML片断文件，并把该文件放到$CATALINA_BASE/webapps目录下。这个web应用本身可以存储在

硬盘上的任何地方。

如果你有一个WAR文件，你若想部署它，则只需要把该文件简单的拷贝到CATALINA_BASE/webapps目录下即可，文件必须以“.war”作为扩展名

。一旦Tomcat监听到这个文件，它将（缺省的）解开该文件包作为一个子目录，并以WAR文件的文件名作为子目录的名字。接下来，Tomcat将在

内存中建立一个context，就好象你在server.xml文件里建立一样。当然，其他必需的内容，将从server.xml中的DefaultContext获得。

部署web应用的另一种方式是写一个Context XML片断文件，然后把该文件拷贝到CATALINA_BASE/webapps目录下。一个Context片断并非一个完

整的XML文件，而只是一个context元素，以及对该应用的相应描述。这种片断文件就像是从server.xml中切取出来的context元素一样，所以这

种片断被命名为“context片断”。

举个例子，如果我们想部署一个名叫MyWebApp.war的应用，该应用使用realm作为访问控制方式，我们可以使用下面这个片断：

<!--

Context fragment for deploying MyWebApp.war

-->

<Context path="/demo" docBase="webapps/MyWebApp.war"

debug="0" privileged="true">

<Realm className="org.apache.catalina.realm.UserDatabaseRealm"

resourceName="UserDatabase"/>

</Context>

把该片断命名为“MyWebApp.xml”，然后拷贝到CATALINA_BASE/webapps目录下。

这种context片断提供了一种便利的方法来部署web应用，你不需要编辑server.xml，除非你想改变缺省的部署特性，安装一个新的web应用时不

需要重启动Tomcat。

4．配置虚拟主机（Virtual Hosts）

关于server.xml中“Host”这个元素，只有在你设置虚拟主机的才需要修改。虚拟主机是一种在一个web服务器上服务多个域名的机制，对每个

域名而言，都好象独享了整个主机。实际上，大多数的小型商务网站都是采用虚拟主机实现的，这主要是因为虚拟主机能直接连接到Internet

并提供相应的带宽，以保障合理的访问响应速度，另外虚拟主机还能提供一个稳定的固定IP。

基于名字的虚拟主机可以被建立在任何web服务器上，建立的方法就是通过在域名服务器（DNS）上建立IP地址的别名，并且告诉web服务器把去

往不同域名的请求分发到相应的网页目录。因为这篇文章主要是讲Tomcat，我们不准备介绍在各种操作系统上设置DNS的方法，如果你在这方面

需要帮助，请参考《DNS and Bind》一书，作者是Paul Albitz and Cricket Liu (OReilly)。为了示范方便，我将使用一个静态的主机文件，

因为这是测试别名最简单的方法。

在Tomcat中使用虚拟主机，你需要设置DNS或主机数据。为了测试，为本地IP设置一个IP别名就足够了，接下来，你需要在server.xml中添加几

行内容，如下：

<Connector className="org.apache.coyote.tomcat4.CoyoteConnector"

port="8080" minProcessors="5" maxProcessors="75"

enableLookups="true" redirectPort="8443"/>

<Connector className="org.apache.coyote.tomcat4.CoyoteConnector"

port="8443" minProcessors="5" maxProcessors="75"

acceptCount="10" debug="0" scheme="https" secure="true"/>

<Factory className="org.apache.coyote.tomcat4.CoyoteServerSocketFactory"

clientAuth="false" protocol="TLS" />

</Connector>

<Host name="localhost" debug="0" appBase="webapps"

unpackWARs="true" autoDeploy="true">

<Context path="/orders" docBase="/home/ian/orders" debug="0"

reloadable="true" crossContext="true">

</Context>

</Host>

</Host>

</Engine>

</Service>

</Server>

Tomcat的server.xml文件，在初始状态下，只包括一个虚拟主机，但是它容易被扩充到支持多个虚拟主机。在前面的例子中展示的是一个简单

的server.xml版本，其中粗体部分就是用于添加一个虚拟主机。每一个Host元素必须包括一个或多个context元素，所包含的context元素中必

须有一个是默认的context，这个默认的context的显示路径应该为空（例如，path=””）。

5．配置基础验证（Basic Authentication）

容器管理验证方法控制着当用户访问受保护的web应用资源时，如何进行用户的身份鉴别。当一个web应用使用了Basic Authentication（BASIC

参数在web.xml文件中auto-method元素中设置），而有用户访问受保护的web应用时，Tomcat将通过HTTP Basic Authentication方式，弹出一

个对话框，要求用户输入用户名和密码。在这种验证方法中，所有密码将被以64位的编码方式在网络上传输。

注意：使用Basic Authentication通过被认为是不安全的，因为它没有强健的加密方法，除非在客户端和服务器端都使用HTTPS或者其他密码加

密码方式（比如，在一个虚拟私人网络中）。若没有额外的加密方法，网络管理员将能够截获（或滥用）用户的密码。但是，如果你是刚开始

使用Tomcat，或者你想在你的web应用中测试一下基于容器的安全管理，Basic Authentication还是非常易于设置和使用的。只需要添加

<security-constraint>和<login-config>两个元素到你的web应用的web.xml文件中，并且在CATALINA_BASE/conf/tomcat-users.xml 文件中添

加适当的<role>和<user>即可，然后重新启动Tomcat。

下面例子中的web.xml摘自一个俱乐部会员网站系统，该系统中只有member目录被保护起来，并使用Basic Authentication进行身份验证。请注

意，这种方式将有效的代替Apache web服务器中的.htaccess文件。

<!--

Define the Members-only area, by defining

a "Security Constraint" on this Application, and

mapping it to the subdirectory (URL) that we want

to restrict.

-->

<security-constraint>

<web-resource-collection>

<web-resource-name>

Entire Application

</web-resource-name>

<url-pattern>/members/*</url-pattern>

</web-resource-collection>

<auth-constraint>

<role-name>member</role-name>

</auth-constraint>

</security-constraint>

<login-config>

<auth-method>BASIC</auth-method>

<realm-name>My Club Members-only Area</realm-name>

</login-config>

6．配置单点登录（Single Sign-On）

一旦你设置了realm和验证的方法，你就需要进行实际的用户登录处理。一般说来，对用户而言登录系统是一件很麻烦的事情，你必须尽量减少

用户登录验证的次数。作为缺省的情况，当用户第一次请求受保护的资源时，每一个web应用都会要求用户登录。如果你运行了多个web应用，

并且每个应用都需要进行单独的用户验证，那这看起来就有点像你在与你的用户搏斗。用户们不知道怎样才能把多个分离的应用整合成一个单

独的系统，所有他们也就不知道他们需要访问多少个不同的应用，只是很迷惑，为什么总要不停的登录。

Tomcat 4的“single sign-on”特性允许用户在访问同一虚拟主机下所有web应用时，只需登录一次。为了使用这个功能，你只需要在Host上添

加一个SingleSignOn Valve元素即可，如下所示：

<Valve className="org.apache.catalina.authenticator.SingleSignOn"

debug="0"/>

在Tomcat初始安装后，server.xml的注释里面包括SingleSignOn Valve配置的例子，你只需要去掉注释，即可使用。那么，任何用户只要登录

过一个应用，则对于同一虚拟主机下的所有应用同样有效。

使用single sign-on valve有一些重要的限制：

1> value必须被配置和嵌套在相同的Host元素里，并且所有需要进行单点验证的web应用（必须通过context元素定义）都位于该Host下。

2> 包括共享用户信息的realm必须被设置在同一级Host中或者嵌套之外。

3> 不能被context中的realm覆盖。

4> 使用单点登录的web应用最好使用一个Tomcat的内置的验证方式（被定义在web.xml中的<auth-method>中），这比自定义的验证方式强，

Tomcat内置的的验证方式包括basic、digest、form和client-cert。

5> 如果你使用单点登录，还希望集成一个第三方的web应用到你的网站中来，并且这个新的web应用使用它自己的验证方式，而不使用容器管理

安全，那你基本上就没招了。你的用户每次登录原来所有应用时需要登录一次，并且在请求新的第三方应用时还得再登录一次。当然，如果你

拥有这个第三方web应用的源码，而你又是一个程序员，你可以修改它，但那恐怕也不容易做。

6> 单点登录需要使用cookies。

7．配置用户定制目录（Customized User Directores）

一些站点允许个别用户在服务器上发布网页。例如，一所大学的学院可能想给每一位学生一个公共区域，或者是一个ISP希望给一些web空间给

他的客户，但这又不是虚拟主机。在这种情况下，一个典型的方法就是在用户名前面加一个特殊字符（~），作为每位用户的网站，比如：

http://www.cs.myuniversity.edu/~username

http://members.mybigisp.com/~username

Tomcat提供两种方法在主机上映射这些个人网站，主要使用一对特殊的Listener元素。Listener的className属性应该是

org.apache.catalina.startup.UserConfig，userClass属性应该是几个映射类之一。如果你的系统是Unix，它将有一个标准的/etc/passwd文

件，该文件中的帐号能够被运行中的Tomcat很容易的读取，该文件指定了用户的主目录，使用PasswdUserDatabase 映射类。

<Listener className="org.apache.catalina.startup.UserConfig"

directoryName="public_html"

userClass="org.apache.catalina.startup.PasswdUserDatabase"/>

web文件需要放置在像/home/users/ian/public_html 或者 /users/jbrittain/public_html一样的目录下面。当然你也可以改变public_html

到其他任何子目录下。

实际上，这个用户目录根本不一定需要位于用户主目录下里面。如果你没有一个密码文件，但你又想把一个用户名映射到公共的像/home一样目

录的子目录里面，则可以使用HomesUserDatabase类。

<Listener className="org.apache.catalina.startup.UserConfig"

directoryName="public_html" homeBase="/home"

userClass="org.apache.catalina.startup.HomesUserDatabase"/>

这样一来，web文件就可以位于像/home/ian/public_html 或者 /home/jasonb/public_html一样的目录下。这种形式对Windows而言更加有利，

你可以使用一个像c:home这样的目录。

这些Listener元素，如果出现，则必须在Host元素里面，而不能在context元素里面，因为它们都用应用于Host本身。

8．在Tomcat中使用CGI脚本

Tomcat主要是作为Servlet/JSP容器，但它也有许多传统web服务器的性能。支持通用网关接口（Common Gateway Interface，即CGI）就是其中

之一，CGI提供一组方法在响应浏览器请求时运行一些扩展程序。CGI之所以被称为通用，是因为它能在大多数程序或脚本中被调用，包括：

Perl，Python，awk，Unix shell scripting等，甚至包括Java。当然，你大概不会把一个Java应用程序当作CGI来运行，毕竟这样太过原始。

一般而言，开发Servlet总要比CGI具有更好的效率，因为当用户点击一个链接或一个按钮时，你不需要从操作系统层开始进行处理。

Tomcat包括一个可选的CGI Servlet，允许你运行遗留下来的CGI脚本。

为了使Tomcat能够运行CGI，你必须做如下几件事：

1. 把servlets-cgi.renametojar （在CATALINA_HOME/server/lib/目录下）改名为servlets-cgi.jar。处理CGI的servlet应该位于Tomcat的

CLASSPATH下。

2. 在Tomcat的CATALINA_BASE/conf/web.xml 文件中，把关于<servlet-name> CGI的那段的注释去掉（默认情况下，该段位于第241行）。

3. 同样，在Tomcat的CATALINA_BASE/conf/web.xml文件中，把关于对CGI进行映射的那段的注释去掉（默认情况下，该段位于第299行）。注意

，这段内容指定了HTML链接到CGI脚本的访问方式。

4. 你可以把CGI脚本放置在WEB-INF/cgi 目录下（注意，WEB-INF是一个安全的地方，你可以把一些不想被用户看见或基于安全考虑不想暴露的

文件放在此处），或者你也可以把CGI脚本放置在context下的其他目录下，并为CGI Servlet调整cgiPathPrefix初始化参数。这就指定的CGI

Servlet的实际位置，且不能与上一步指定的URL重名。

5. 重新启动Tomcat，你的CGI就可以运行了。

在Tomcat中，CGI程序缺省放置在WEB-INF/cgi目录下，正如前面所提示的那样，WEB-INF目录受保护的，通过客户端的浏览器无法窥探到其中内

容，所以对于放置含有密码或其他敏感信息的CGI脚本而言，这是一个非常好的地方。为了兼容其他服务器，尽管你也可以把CGI脚本保存在传

统的/cgi-bin目录，但要知道，在这些目录中的文件有可能被网上好奇的冲浪者看到。另外，在Unix中，请确定运行Tomcat的用户有执行CGI脚

本的权限。

9．改变Tomcat中的JSP编译器（JSP Compiler）

在Tomcat 4.1（或更高版本，大概），JSP的编译由包含在Tomcat里面的Ant程序控制器直接执行。这听起来有一点点奇怪，但这正是Ant有意为

之的一部分，有一个API文档指导开发者在没有启动一个新的JVM的情况下，使用Ant。这是使用Ant进行Java开发的一大优势。另外，这也意味

着你现在能够在Ant中使用任何javac支持的编译方式，这里有一个关于Apache Ant使用手册的javac page列表。使用起来是容易的，因为你只

需要在<init-param> 元素中定义一个名字叫“compiler”，并且在value中有一个支持编译的编译器名字，示例如下：

<servlet-name>jsp</servlet-name>

<servlet-class>

org.apache.jasper.servlet.JspServlet

</servlet-class>

<init-param>

<param-name>logVerbosityLevel</param-name>

<param-value>WARNING</param-value>

</init-param>

<init-param>

<param-name>compiler</param-name>

<param-value>jikes</param-value>

</init-param>

<load-on-startup>3</load-on-startup>

</servlet>

当然，给出的编译器必须已经安装在你的系统中，并且CLASSPATH可能需要设置，那处决于你选择的是何种编译器。

10．限制特定主机访问（Restricting Access to Specific Hosts）

有时，你可能想限制对Tomcat web应用的访问，比如，你希望只有你指定的主机或IP地址可以访问你的应用。这样一来，就只有那些指定的的

客户端可以访问服务的内容了。为了实现这种效果，Tomcat提供了两个参数供你配置：RemoteHostValve 和RemoteAddrValve。

通过配置这两个参数，可以让你过滤来自请求的主机或IP地址，并允许或拒绝哪些主机/IP。与之类似的，在Apache的httpd文件里有对每个目

录的允许/拒绝指定。

例如你可以把Admin Web application设置成只允许本地访问，设置如下：

<Valve className="org.apache.catalina.valves.RemoteAddrValve"

allow="127.0.0.1" deny=""/>

</Context>

如果没有给出允许主机的指定，那么与拒绝主机匹配的主机就会被拒绝，除此之外的都是允许的。与之类似，如果没有给出拒绝主机的指定，

那么与允许主机匹配的主机就会被允许，除此之外的都是拒绝的。

--------------------------------------

Tomcat5.x中的虚拟主机配置方法
搞了一段时间的WEB项目(基于JSP+JavaBean技术，服务器为Apache+Tomcat)

发现我们的项目文件都放在了TOMCAT_HOME＼webapps中，虽说可以通过

server.xml配置我们的项目到其他目录，但是当项目多了的时候server.xml将变

得及其臃肿，而且混乱不堪；不易管理与维护．
为了避免以上情形不在发生，为了项目更加便于管理接下来将向大家介绍的

是只在server.xml中配置一两个虚拟主机来解决对项目的集中管理，而且每个项

目所需的配置文件也不必再添加到server.xml中去了，使得server.xml不再臃肿

、不在混乱不堪，而是更利于管理和维护。
说了半天想必你早已跃跃欲试了吧，那还不赶快跟我来，还等什么呢!（^_^）

一、准备：
假设你已经是一个web程序员,并且对tomcat有一定了解,而且可以对其进行常规配

置

二、开始配置：
1、）首先在TOMCAT_HOME/conf目录中找到server.xml文件并在记事本中打开它；
2、）在文件server.xml中找到</Host>标签；
3、）在</Host>标签之后新建如下信息：
<Host name="onion" debug="0" appBase="f:/StudioOnion/WEB_Project"

unpackWARs="true" autoDeploy="true">

<Logger className="org.apache.catalina.logger.FileLogger"

directory="logs" prefix="onion_log." suffix=".txt" timestamp="true"/>
<Valve className="org.apache.catalina.valves.AccessLogValve"

directory="logs" prefix="onion_access_log." suffix=".txt"

pattern="common" resolveHosts="false"/>

</Host>
说明：
【onion】为你的主机的名称或域名；
【f:/StudioOnion/WEB_Project】为虚拟主机的起始目录；
【onion_log】为日志文件名；
【onion_access_log】为访问主机的日志文件名。
4、）在虚拟主机的起始目录中为你的项目建一个目录和一个与项目同名的配置文

件(我的是f:/StudioOnion/WEB_Project /shsc/和f:/StudioOnion/WEB_Project

/shsc.xml)。
5、）打开那个刚刚建好的项目配置文件来配置你项目的基本信息（如：虚拟目录

和真实路径等），总之几乎所有的配置均可在此配置文件中完成，当然servlet和

bean的部署要在web.xml中来完成，本文未涉及到此内容故在此不赘述。下面是我

的配置文件shsc.xml中的内容仅供参考：
<Context path="" docBase="F:/StudioOnion/WEB_Project/shsc" debug="0"

reloadable="true" crossContext="true">
</Context>

三、测试
打开ie在地址栏中输入http://onion/shsc若看到你的jsp页面，恭喜你成功了；

如若不然，嘿嘿哈哈············再来一遍了（^_^）。

Tomcat5.5.x配置整理
1.下载：
http://www.eu.apache.org/dist/jakarta/tomcat-5/
http://www.apache.org/dist/jakarta/tomcat-5/v5.5.x/bin/jakarta-tomcat-

5.5.x-admin.zip
http://www.apache.org/dist/jakarta/tomcat-5/v5.5.x/bin/jakarta-tomcat-

5.5.x-compat.zip
http://www.apache.org/dist/jakarta/tomcat-5/v5.5.x/bin/jakarta-tomcat-

5.5.x.zip
http://www.apache.org/dist/jakarta/tomcat-5/v5.5.x/bin/jakarta-tomcat-

5.5.x-deployer.zip
把jakarta-tomcat-5.5.x.zip
和jakarta-tomcat-5.5.x-compat.zip
和jakarta-tomcat-5.5.x-admin.zip
(Tomcat 默认是没有内置admin模块了
Tomcat's administration web application is no longer installed by

default. Download and install the "admin" package to use it. )
都解压到同一个目录下面。比如：D:/jakarta-tomcat-5.5.x/
(如果使用jdk1.4，才需要compat.zip用jdk1.5就可以免了这个。)

2.修改jakarta-tomcat-5.5.x/conf/tomcat-users.xml.
添加管理员账号lizongbo，密码为lizongbopass.
新xml如下：
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
<role rolename="tomcat"/>
<role rolename="role1"/>
<role rolename="manager"/>
<role rolename="admin"/>
<user username="tomcat" password="tomcat" roles="tomcat"/>
<user username="role1" password="tomcat" roles="role1"/>
<user username="both" password="tomcat" roles="tomcat,role1"/>
<user username="lizongbo" password="lizongbopass"

roles="admin,manager"/>
</tomcat-users>

3.修改jakarta-tomcat-5.5.x/conf/server.xml来解决编码问题。
(给Connector 添加URIEncoding参数，参考

http://blog.csdn.net/darkxie/archive/2004/10/25/TOMCATAPP.aspx)
(可以设置成GB18030)
<Connector port="8080"
maxThreads="150" minSpareThreads="25"

maxSpareThreads="75"
enableLookups="false" redirectPort="8443"

acceptCount="200"
connectionTimeout="20000" disableUploadTimeout="true"

URIEncoding="GBK"
               compression="on" compressionMinSize="2048"
      noCompressionUserAgents="gozilla, traviata"
      compressableMimeType="text/html,text/xml"/>

    <Connector port="8009"
               enableLookups="false" redirectPort="8443"

protocol="AJP/1.3" URIEncoding="GBK"/>

4.启用支持gzip压缩.
(http://www.linuxaid.com.cn/forum/showdoc.jsp?l=1&i=81169)
添加下列属性
compression="on"
      compressionMinSize="2048"
      noCompressionUserAgents="gozilla, traviata"
      compressableMimeType="text/html,text/xml"

5.设置虚拟主机。
在jakarta-tomcat-5.5.x/下建立文件夹vhost/www.mydomain.com。
然后修改jakarta-tomcat-5.5.x/conf/server.xml

<Engine defaultHost="localhost" name="Catalina">
      <Host appBase="vhost/www.mydomain.com" name="www.mydomain.com">
      </Host>
      <Host appBase="webapps" name="localhost">
      </Host>
      <Realm className="org.apache.catalina.realm.UserDatabaseRealm"/>
    </Engine>

6.添加数据库驱动,更新mail.jar和actiovation.jar
复制mysql-connector-java-3.0.16-ga-bin.jar,pg74.215.jdbc3.jar到

jakarta-tomcat-5.5.x/common/lib/
还有javamail 1.3.2的mail.jar，jaf-1_0_2的 activation.jar
msSQl 2000 JDBC sp3，msbase.jar,msutil,jar,mssqlserver.jar

7.配置SSL
参考 http://jakarta.apache.org/tomcat/tomcat-5.5-doc/ssl-howto.html
D:/j2sdk1.4.2_06/bin>%JAVA_HOME%/bin/keytool -genkey -alias tomcat -

keyalg RSA
输入keystore密码： lizongbossl
您的名字与姓氏是什么？
[tomcat5.5.x]： tomcat5.5.x
您的组织单位名称是什么？
[jakarta]： jakarta
您的组织名称是什么？
[apache]： apache
您所在的城市或区域名称是什么？
[hzcity]： hzcity
您所在的州或省份名称是什么？
[gdp]： gdp
该单位的两字母国家代码是什么
[CN]： CN
CN=tomcat5.5.x, OU=jakarta, O=apache, L=hzcity, ST=gdp, C=CN 正确吗？
[否]： y

输入<tomcat>的主密码
（如果和 keystore 密码相同，按回车）：

(必须密码一致，因此直接回车)
然后再把userhome(例如：C:/Documents and Settings/lizongbo/)下

的.keystore复制到
tomcat的conf/目录下。
(例如：D:/jakarta-tomcat-5.5.x/conf/.keystore )
配置jakarta-tomcat-5.5.x/conf/server.xml
加上
<Connector port="8443"
maxThreads="150" minSpareThreads="25"

maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"
           keystoreFile="conf/.keystore"
           keystorePass="lizongbossl"> 
    </Connector>
8.禁止文件目录列表，
修改jakarta-tomcat-5.5.x/conf/web.xml，把listing设置为false

    <servlet>
        <servlet-name>default</servlet-name>
        <servlet-

class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
        <init-param>
            <param-name>debug</param-name>
            <param-value>0</param-value>
        </init-param>
        <init-param>
            <param-name>listings</param-name>
            <param-value>true</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
    </servlet>

9.指定了自己的javaEncoding
(参考 http://gceclub.sun.com.cn/staticcontent/html/sunone/app7/app7-dg

-webapp/ch6/ch6-4.html )

    <servlet>
        <servlet-name>jsp</servlet-name>
        <servlet-class>org.apache.jasper.servlet.JspServlet</servlet-

class>
        <init-param>
            <param-name>fork</param-name>
            <param-value>false</param-value>
        </init-param>
                <init-param>
            <param-name>javaEncoding</param-name>
            <param-value>GB18030</param-value>
        </init-param>
        <init-param>
            <param-name>xpoweredBy</param-name>
            <param-value>true</param-value>
        </init-param>
        <load-on-startup>3</load-on-startup>
    </servlet>
10.添加rar,iso等的mime-type映射
避免在浏览器里直接打开。
<mime-mapping>
<extension>mht</extension>
<mime-type>text/x-mht</mime-type>
</mime-mapping>
<mime-mapping>
        <extension>rar</extension>
        <mime-type>application/octet-stream</mime-type>
    </mime-mapping>
    <mime-mapping>
        <extension>iso</extension>
        <mime-type>application/octet-stream</mime-type>
    </mime-mapping>
    <mime-mapping>
        <extension>ape</extension>
        <mime-type>application/octet-stream</mime-type>
    </mime-mapping>
    <mime-mapping>
        <extension>rmvb</extension>
        <mime-type>application/octet-stream</mime-type>
    </mime-mapping>
    <mime-mapping>
        <extension>ico</extension>
        <mime-type>image/x-icon</mime-type>
    </mime-mapping>
10.1对html静态页面设置编码

<mime-mapping>
<extension>htm</extension>
<mime-type>text/html;charset=gb2312</mime-type>
</mime-mapping>
<mime-mapping>
<extension>html</extension>
<mime-type>text/html;charset=gb2312</mime-type>
</mime-mapping>
</web-app>

11.添加welcome-file-list，并调整顺序。
<welcome-file-list>
        <welcome-file>index.jsp</welcome-file>
        <welcome-file>index.html</welcome-file>
        <welcome-file>index.htm</welcome-file>
        <welcome-file>default.html</welcome-file>
        <welcome-file>default.htm</welcome-file>
        <welcome-file>default.jsp</welcome-file>
    </welcome-file-list>

12.如果你的webapp需要只能够进行https方式访问，那么在webapp的web.xml里加

上：
<security-constraint>
<web-resource-collection>
   <web-resource-name>must https</web-resource-name>
   <url-pattern>/lizongbo/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
   <transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
参考：http://jakarta.apache.org/tomcat/faq/security.html#https
http://marc.theaimsgroup.com/?l=tomcat-user&m=104951559722619&w=2
13.修改远程关闭服务器的命令。
server.xml默认有下面一行：
<Server port="8005" shutdown="SHUTDOWN">
这样允许任何人只要telnet到服务器的8005端口，输入"SHUTDOWN"，然后回车，

服务器立即就被关掉了。
从安全的角度上考虑，我们需要把这个shutdown指令改成一个别人不容易猜测的

字符串。
例如修改如下：
<Server port="8006" shutdown="lizongbo">，这样就只有在telnet到8006，并

且输入"lizongbo"才能够关闭Tomcat.
注意：这个修改不影响shutdown.bat的执行。运行shutdown.bat一样可以关闭服

务器。
参考：http://jakarta.apache.org/tomcat/faq/security.html#8005

以下皆可以参考：http://www.cnjsp.org/document/user/tuman/valve.html

14.配置http访问日志。Tomcat自带的能够记录的http访问日志已经很详细了
取消下面这段的注释：

<Valve className="org.apache.catalina.valves.AccessLogValve"
directory="logs" prefix="localhost_access_log."

suffix=".txt"
pattern="common" resolveHosts="false"/>

然后修改为：
<Valve

className="org.apache.catalina.valves.FastCommonAccessLogValve"
directory="logs" prefix="localhost_access_log."

suffix=".txt"
pattern="combined" resolveHosts="false"

fileDateFormat="yyyy-MM-dd.HH"/>

pattern="combined" 记录的日志内容更详细，fileDateFormat="yyyy-MM-dd.HH"

，会让日志文件按小时进行滚卷，
比默认的按天滚卷要好些，尤其是访问量大的网站，可以考虑写成

fileDateFormat="yyyy-MM-dd.HH.mm"，就会是每分钟一个日志文件了。
而且可以分别按Engine, Host, or Context,来记录自己的日志
详情参考：
http://jakarta.apache.org/tomcat/tomcat-5.5-doc/config/valve.html
http://jakarta.apache.org/tomcat/tomcat-5.0-doc/config/logger.html
http://jakarta.apache.org/tomcat/tomcat-5.0-

doc/config/host.html#Access%20Logs
而且还可以配合awstats来进行日志统计分析：

http://www.chedong.com/tech/awstats.html

15.限制ip，限制主机访问等。
如果想禁止指定的ip或者主机名来拒绝某些机器访问，或者指定某些机器来访问

。
也支持分别按Engine, Host, or Context,进行以下配置：
<Context path="/examples" ...> ...
<Valve className="org.apache.catalina.valves.RemoteHostValve"
allow="*.mycompany.com,www.yourcompany.com"/>
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
deny="192.168.1.*"/>
</Context>
参考：
http://jakarta.apache.org/tomcat/tomcat-5.0-doc/config/context.html

16.发布webapp到网站根目录
1。直接复制到ROOT目录下。
2.因为无法创建无名字的xml文件，并且在xml文件里指定path也是无效的(tomcat

靠文件名字来判断的)，
因此必须在server.xml里写下面一段：
<Context docBase="${catalina.home}/vhost/www.lizongbo.com" path="/"
privileged="true" antiResourceLocking="false"

antiJARLocking="false">
<Manager className="org.apache.catalina.session.StandardManager"

algorithm="SHA-512"
entropy="suijisifuchuansuijisifuchuansuijisifuchuansuijisifuchuan"
maxActiveSessions="800" />
<Valve

className="org.apache.catalina.valves.FastCommonAccessLogValve"
directory="logs"

prefix="localhost_mytest_access_log." suffix=".txt"
pattern="combined" resolveHosts="true"

fileDateFormat="yyyy-MM-dd.HH"/>

</Context>
而且必须把ROOT目录删除掉，否则Tomcat还是优先部署ROOT目录为"/"。

17.在重新启动Tomcat的webapp的时候，禁止把session写入文件。
修改conf/web.xml
取消注释：

<Manager pathname="" />

18.增强SessiionID的生成算法和长度。

<Manager

className="org.apache.catalina.session.StandardManager" algorithm="SHA

-512" sessionIdLength="40">
</Manager>

（默认的是MD5,长度是16位。）

19.配置日志：(http://jakarta.apache.org/tomcat/tomcat-5.5-

doc/logging.html)

在D:/jakarta-tomcat-5.5.8/common/classes/新建log4j.properties

内容：
log4j.rootLogger=debug, R
log4j.appender.R=org.apache.log4j.RollingFileAppender
log4j.appender.R.File=${catalina.home}/logs/tomcat5.5.log
log4j.appender.R.MaxFileSize=10MB
log4j.appender.R.MaxBackupIndex=10
log4j.appender.R.layout=org.apache.log4j.PatternLayout
log4j.appender.R.layout.ConversionPattern=%p %t %c - %m%n
log4j.logger.org.apache.catalina=DEBUG, R
log4j.logger.org.apache.catalina.core.ContainerBase.Catalina.localhost=

DEBUG, R
log4j.logger.org.apache.catalina.core=DEBUG, R
log4j.logger.org.apache.catalina.session=DEBUG, R
复制log4j-1.2.9.jar和commons-logging.jar到
D:/jakarta-tomcat-5.5.8/common/lib

20.使用windows域用户验证

http://jcifs.samba.org/src/docs/ntlmhttpauth.html

TOMCAT笔记（一）之目录、虚拟主机、SERVER.XML、TOOL管理原理小记
关于Tomcat Administration　

TOOL左界面
　　　　 Name: ok.aaa.com [localhost]
Application Base: webapps //相对于TOMCAT_HOME
Host (ok.aaa.com[localhost])
Context (/)　　　　 //ROOT物理目录　
　　　　　　　　　　//但作为DOCBASE来说为虚拟目录（相对于Application

Base）
　　　　　　　　　　//它是url://ok.aaa.com [localhost] 虚拟（别名）根目

录，这是和APACHE不一样的地方！
　　　　　　　　　　//Application Base才是实实在在的url://ok.aaa.com

[localhost]根目录　，
　　　　　　　　　　//启动时系统会自动生成（通过测试ROOT下的WEB－INF、

WEB.XML）
Context (/admin)　 //系统默认(删除对应的admin.xml其不能自动还原）
Context (/balancer)　//原理同上Context (/admin)
Context (/jsp-examples) 　//相对于Application Base，启动时系统会自动生

成。
Context (/manager)　　　 //原理同上Context (/admin)作
Context (/servlets-examples) 　　//物理目录，相对于Application Base，启

动时系统会自动生成。
Context (/tomcat-docs)　　 //物理目录，相对于Application Base，启动时系

统会自动生成。
Context (/webdav) 　　　//物理目录，相对于Application Base，启动时系统

会自动生成。

原理：TOMCAT启动时会搜索HOST的APPBASE下的物理目录，物理目录有WEB－INF、

WEB.XML信息则载入到TOOL界面，无时不载入，不过不载入的物理目录当然还是可

以通过URL来访问;虚拟目录（alias）对应的xml文件存在则能载入，无时（相应

的XML被删除）不载入，通过URL不可访。但是ROOT就不一样了，把ROOT.XML删了

后，它也能被载入，因为它有双重性。每个目录只要都被正常载入，相应在

TOMCAT_HOME/Catalina/ok.aaa.com [localhost] /生成其同名的XML，这个名称

可以被更改，不过最好用可示性较强的文字来命名。

关于SERVER.XML
- <Service name="Catalina">
<Connector acceptCount="100" connectionTimeout="20000"

disableUploadTimeout="true" port="80" redirectPort="8443" /> //url端口

为80，默认是8080
<Connector port="8009" protocol="AJP/1.3"

protocolHandlerClassName="org.apache.jk.server.JkCoyoteHandler"

redirectPort="8443" />
- <Engine defaultHost="aaa.com" name="Catalina">//这里是指默认主机，也

就是通过IP、localhost来访问的主机
- <Host appBase="webapps" name="ok.aaa.com">//虚拟主机ok.aaa.com
<Alias>ok.bbb.com</Alias>//虚拟主机ok.aaa.com的别名和实实在在的

url://ok.aaa.com [localhost]根目录webapps
<Alias>yes.aaa.com</Alias> //同上
<Alias>yes.bbb.com</Alias> //同上
<Logger className="org.apache.catalina.logger.FileLogger"

prefix="localhost_log." suffix=".txt" timestamp="true" />
</Host>
- <Host appBase="f://myweb" name="aaa.com">//虚拟主机aaa.com和实实在在

的url://aaa.com [localhost]根目录f://myweb
<Alias>bbb.com</Alias>//虚拟主机aaa.com的别名
<Alias>www.bbb.com</Alias> //同上
<Alias>www.aaa.com</Alias> //同上
<Logger className="org.apache.catalina.logger.FileLogger"

prefix="aaa.com_log." suffix="txt" timestamp="true" />

<Context displayName="freeweb描述" docBase="d://freeweb" path="abc"

useNaming="false" /> //别名abc指向物理目录d://freeweb
</Host>
<Logger className="org.apache.catalina.logger.FileLogger"

prefix="catalina_log." suffix=".txt" timestamp="true" />
<Realm className="org.apache.catalina.realm.UserDatabaseRealm" />
</Engine>
</Service>
</Server>

注意：这里<Context displayName="freeweb描述" docBase="d://freeweb"

path="abc" useNaming="false" /> //别名abc指向物理目录d://freeweb　在添

加之后，要重启TOMCAT，这时会在TOMCAT_HOME/conf/Catalina/aaa.com/下生成

一个abc.xml.其内容就是：

<?xml version="1.0" encoding="utf-8" ?>

<Context displayName="freeweb描述" docBase="d://freeweb" path="abc"

useNaming="false" />

这之后，再入Tomcat Administration　TOOL　COMMIT　CHANGE　一下

　,SERVER.XML 里那句<Context~~~~~~~~~~~ />就没了。呵　。。

最后我要说的是，当进行备份时，一定不要仅把SERVER.XML　WEB.XML .....这些

文件备下来（和APACHE不一样），备就备整个conf目录！！！我之前就是以为在

SERVER.XML写了CONTEXT就可行了，目录的事全交给SERVER.XML来管。可是这样是

非常错误的想法。SERVER.XML是不保留CONTEXT的，它只是把你加入Context生成

文件，之后删除你在它里面添的语句。它只有生成功能，没有对其的直接管理功

能，功能都给相应的alias的XML文件了！

在Tomcat里发布程序?
找到%tomcathome%/conf/server.xml文件,在<host>标签中加入:

<Context path="/虚拟目录名" docBase="本地路径" debug="0"
reloadable="true" crossContext="true">
</Context>
这样将你的jsp文件放到"本地路径"下,然后在浏览器中输入

http://127.0.0.1:8080/虚拟目录名/xxx.jsp即可执行.
注意!!!还没有完!!这时候你的这个虚拟目录还没有执行servlet的能力(当然如果

你不用servlet那就令当别论了).
下面是一个范例:

<Context path="/bbs" docBase="work" debug="0"
reloadable="true" crossContext="true">
</Context>
你要建一个名叫work的目录在webapps/下
要使这个work目录可以执行servlet,要有一个配置文件--web.xml,内容为:

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<display-name>MyWEB</display-name>
<servlet-mapping>
<servlet-name>invoker</servlet-name>
<url-pattern>/servlet/*</url-pattern>
</servlet-mapping>
</web-app>

这个使最小配置,仅仅是指明servlet的位置.要把这个文件放到

webapps/work/WEB-INF/下,你自己的servlet放到webapps/work/WEB-

INF/classes/下.