大多数商业化的J2EE服务器都提供一个功能强大的理界面Q且大都采用易于理解的Web应用界面。Tomcat按照自己的方式,同样提供一个成熟的理工具Qƈ且丝毫不逊于那些商业化的竞争Ҏ(gu)。Tomcat的Admin Web Application最初在4.1版本时出玎ͼ当时的功能包括管理context、data source、user和group{。当然也可以理像初始化参数Quser、group、role的多U数据库理{。在后箋的版本中Q这些功能将得到很大的扩展,但现有的功能已经非常实用?jin)。Admin Web Application被定义在自动部v文gQCATALINA_BASE/webapps/admin.xml 。(译者注QCATALINA_BASE即tomcat安装目录下的server目录Q?BR>
你必ȝ辑这个文Ӟ以确定Context中的docBase参数是绝对\径。也是_(d)CATALINA
_BASE/webapps/admin.xml的\径是l对路径。作为另外一U选择Q你也可以删除这个自动部|文Ӟ而在server.xml文g中徏立一个Admin Web Application的contextQ效果是一L(fng)。你不能理Admin Web Applicationq个应用Q换而言之,除了(jin)删除CATALINA_BASE/webapps/admin.xml Q你可能什么都做不?jin)?BR>
如果你用UserDatabaseRealmQ默认)(j)Q你需要添加一个user以及(qing)一个role到CATALINA_BASE/conf/tomcat-users.xml文g中。你~辑q个文gQ添加一个名叫“admin”的role 到该文g中,如下Q?BR>
Qrole name="admin"/Q?BR>
你同样需要有一个用Pq且q个用户的角色是“admin”。象存在的用户那Pd一个用P改变密码使其更加安全Q:(x)
Quser name="admin"
password="deep_dark_secret"
roles="admin"/Q?BR>
当你完成q些步骤后,请重新启动TomcatQ访问http://localhost:8080/adminQ你看C个登录界面。Admin Web Application采用Z容器理的安全机Ӟq用了(jin)Jakarta Struts框架。一旦你作ؓ(f)“admin”角色的用户d理界面Q你能够用这个管理界面配|Tomcat?BR>
2、配|应用管理(Manager Web ApplicationQ?/SPAN>
Manager Web Application让你通过一个比Admin Web Application更ؓ(f)单的用户界面Q执行一些简单的Web应用d。Manager Web Application被被定义在一个自动部|文件中Q?BR>
CATALINA_BASE/webapps/manager.xml
你必ȝ辑这个文Ӟ以确保context的docBase参数是绝对\径,也就是说CATALINA_HOME/server/webapps/manager的绝对\径。(译者注QCATALINA_HOME即tomcat安装目录Q?BR>
如果你用的是UserDatabaseRealmQ那么你需要添加一个角色和一个用户到CATALINA_BASE/conf/tomcat-users.xml文g中。接下来Q编辑这个文Ӟd一个名为“manager”的角色到该文g中:(x)
Qrole name=”manager”>
你同样需要有一个角色ؓ(f)“manager”的用户。像已经存在的用户那Pd一个新用户Q改变密码其更加安全)(j)Q?BR>
Quser name="manager"
password="deep_dark_secret"
roles="manager"/Q?BR>
然后重新启动TomcatQ访问http://localhost/manager/listQ将看到一个很朴素的文本型理界面Q或者访问http://localhost/manager/html/listQ将看到一个HMTL的管理界面。不是哪种方式都说明你的Manager Web Application现在已经启动?jin)?BR>
Manager application让你可以在没有系l管理特权的基础上,安装新的Web应用Q以用于试。如果我们有一个新的web应用位于/home/user/hello下在Qƈ且想把它安装?hello下,Z(jin)试q个应用Q我们可以这么做Q在W一个文件框中输入?hello”(作ؓ(f)讉K时的pathQ,在第二个文本框中输入“file:/home/user/hello”(作ؓ(f)Config URLQ?BR>
Manager applicationq允怽停止、重新启动、移除以?qing)重新部|一个web应用。停止一个应用其无法被讉KQ当有用户尝试访问这个被停止的应用时Q将看到一?03的错???03 - This application is not currently available”?BR>
U除一个web应用Q只是指从Tomcat的运行拷贝中删除?jin)该应用Q如果你重新启动TomcatQ被删除的应用将再次出现Q也是_(d)U除q不是指从硬盘上删除Q?BR>
3、部|一个web应用
有两个办法可以在pȝ中部|web服务?BR>
1. 拯你的WAR文g或者你的web应用文g夹(包括该web的所有内容)(j)?CATALINA_BASE/webapps目录下?BR>
2. Z的web服务建立一个只包括context内容的XML片断文gQƈ把该文g攑ֈ$CATALINA_BASE/webapps目录下。这个web应用本n可以存储在硬盘上的Q何地斏V?BR>
如果你有一个WAR文gQ你若想部v它,则只需要把该文件简单的拯到CATALINA_BASE/webapps目录下即可,文g必须以?war”作为扩展名。一旦Tomcat监听到这个文Ӟ它将Q缺省的Q解开该文件包作ؓ(f)一个子目录Qƈ以WAR文g的文件名作ؓ(f)子目录的名字?BR>
接下来,Tomcat在内存中徏立一个contextQ就好象你在server.xml文g里徏立一栗当?dng)其他必需的内容,从server.xml中的DefaultContext获得?BR>
部vweb应用的另一U方式是写一个Context XML片断文gQ然后把该文件拷贝到CATALINA_BASE/webapps目录下。一个Context片断q一个完整的XML文gQ而只是一个context元素Q以?qing)对该应用的相应描述?BR>
q种片断文g像是从server.xml中切取出来的context元素一P所以这U片断被命名为“context片断”?BR>
举个例子Q如果我们想部v一个名叫MyWebApp.war的应用,该应用用realm作ؓ(f)讉K控制方式Q我们可以用下面这个片断:(x)
Q?--
Context fragment for deploying MyWebApp.war
--Q?BR> QContext path="/demo"
docBase="webapps/MyWebApp.war"
debug="0" privileged="true"Q?BR> QRealm className=
"org.apache.catalina.realm.UserDatabaseRealm"
resourceName="UserDatabase"/Q?BR> Q?ContextQ?BR>
把该片断命名为“MyWebApp.xml”,然后拯到CATALINA_BASE/webapps目录下?BR>
q种context片断提供?jin)一U便利的Ҏ(gu)来部|web应用Q你不需要编辑server.xmlQ除非你x变缺省的部vҎ(gu),安装一个新的web应用时不需要重启动Tomcat?BR>
4、配|虚拟主机(Virtual HostsQ?/SPAN>
关于server.xml中“Host”这个元素,只有在你讄虚拟L的才需要修攏V虚拟主机是一U在一个web服务器上服务多个域名的机ӞҎ(gu)个域名而言Q都好象独n?jin)整个主机。实际上Q大多数的小型商务网站都是采用虚拟主机实现的Q这主要是因拟主直接q接到Internetq提供相应的带宽Q以保障合理的访问响应速度Q另外虚拟主能提供一个稳定的固定IP?BR>
Z名字的虚拟主机可以被建立在Q何web服务器上Q徏立的Ҏ(gu)是通过在域名服务器QDNSQ上建立IP地址的别名,q且告诉web服务器把d不同域名的请求分发到相应的网늛录。因文章主要是讲TomcatQ我们不准备介绍在各U操作系l上讄DNS的方法,如果你在q方面需要帮助,请参考《DNS and Bind》一书,作者是Paul Albitz and Cricket Liu (O'Reilly)。ؓ(f)?jin)示范方便,我将使用一个静(rn)态的L文gQ因是测试别名最单的Ҏ(gu)?BR>
在Tomcat中用虚拟主机,你需要设|DNS或主机数据。ؓ(f)?jin)测试,为本地IP讄一个IP别名p够了(jin)Q接下来Q你需要在server.xml中添加几行内容,如下Q?BR>
QServer port="8005"
shutdown="SHUTDOWN" debug="0"Q?BR> QService name="Tomcat-Standalone"Q?BR> QConnector className=
"org.apache.coyote.tomcat4.CoyoteConnector"
port="8080"
minProcessors="5" maxProcessors="75"
enableLookups="true"
redirectPort="8443"/Q?BR> QConnector className=
"org.apache.coyote.tomcat4.CoyoteConnector"
port="8443" minProcessors="5"
maxProcessors="75"
acceptCount="10" debug="0"
scheme="https" secure="true"/Q?BR> QFactory className="org.apache.coyote.
tomcat4.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" /Q?BR> Q?ConnectorQ?BR> QEngine name="Standalone"
defaultHost="localhost" debug="0"Q?BR> Q?-- This Host is the default Host --Q?BR> QHost name="localhost"
debug="0" appBase="webapps"
unpackWARs="true" autoDeploy="true"Q?BR> QContext path="" docBase="ROOT" debug="0"/Q?BR> QContext path="/orders"
docBase="/home/ian/orders" debug="0"
reloadable="true" crossContext="true"Q?BR> Q?ContextQ?BR> Q?HostQ?BR>
Q?-- This Host is the first
"Virtual Host": http://www.example.com/ --Q?BR> QHost name="www.example.com"
appBase="/home/example/webapp"Q?BR> QContext path="" docBase="."/Q?BR> Q?HostQ?BR>
Q?EngineQ?BR> Q?ServiceQ?BR> Q?ServerQ?BR>
Tomcat的server.xml文gQ在初始状态下Q只包括一个虚拟主机,但是它容易被扩充到支持多个虚拟主机。在前面的例子中展示的是一个简单的server.xml版本Q其中粗体部分就是用于添加一个虚拟主机。每一个Host元素必须包括一个或多个context元素Q所包含的context元素中必L一个是默认的contextQ这个默认的context的显C\径应该ؓ(f)I(例如Qpath=””)(j)?BR>
5、配|基验证QBasic AuthenticationQ?/SPAN>
容器理验证Ҏ(gu)控制着当用戯问受保护的web应用资源Ӟ如何q行用户的n份鉴别。当一个web应用使用?jin)Basic AuthenticationQBASIC参数在web.xml文g中auto-method元素中设|)(j)Q而有用户讉K受保护的web应用ӞTomcat通过HTTP Basic Authentication方式Q弹Z个对话框Q要求用戯入用户名和密码。在q种验证Ҏ(gu)中,所有密码将被以64位的~码方式在网l上传输?BR>
注意Q用Basic Authentication通过被认为是不安全的Q因为它没有强健的加密方法,除非在客L(fng)和服务器端都使用HTTPS或者其他密码加密码方式Q比如,在一个虚拟私人网l中Q。若没有额外的加密方法,|络理员将能够截获Q或滥用Q用L(fng)密码?BR>
但是Q如果你是刚开始用TomcatQ或者你惛_你的web应用中测试一下基于容器的安全理QBasic Authenticationq是非常易于讄和用的。只需要添加<security-constraintQ和Qlogin-configQ两个元素到你的web应用的web.xml文g中,q且在CATALINA_BASE/conf/tomcat-users.xml文g中添加适当的<roleQ和QuserQ即可,然后重新启动Tomcat?BR>
下面例子中的web.xml摘自一个俱乐部?x)员|站pȝQ该pȝ中只有member目录被保护v来,q用Basic Authenticationq行w䆾验证。请注意Q这U方式将有效的代替Apache web服务器中?htaccess文g?BR>
Q?--
Define the
Members-only area,
by defining
a "Security Constraint"
on this Application, and
mapping it to the
subdirectory (URL) that we want
to restrict.
--Q?BR> Qsecurity-constraintQ?BR> Qweb-resource-collectionQ?BR> Qweb-resource-nameQ?BR> Entire Application
Q?web-resource-nameQ?BR> Qurl-patternQ?members/*Q?url-patternQ?BR> Q?web-resource-collectionQ?BR> Qauth-constraintQ?BR> Qrole-nameQmemberQ?role-nameQ?BR> Q?auth-constraintQ?BR> Q?security-constraintQ?BR> Q?-- Define the Login
Configuration for
this Application --Q?BR> Qlogin-configQ?BR> Qauth-methodQBASICQ?auth-methodQ?BR> Qrealm-nameQMy Club
Members-only AreaQ?realm-nameQ?BR> Q?login-configQ?BR>
6、配|单点登录(Single Sign-OnQ?/SPAN>
一旦你讄?jin)realm和验证的Ҏ(gu)Q你需要进行实际的用户d处理。一般说来,对用戯(g)言dpȝ是一件很ȝ(ch)的事情,你必d量减用L(fng)录验证的ơ数。作为缺省的情况Q当用户W一ơ请求受保护的资源时Q每一个web应用都会(x)要求用户d?BR>
如果你运行了(jin)多个web应用Qƈ且每个应用都需要进行单独的用户验证Q那q看h有点像你在与你的用h斗。用户们不知道怎样才能把多个分ȝ应用整合成一个单独的pȝQ所有他们也׃知道他们需要访问多个不同的应用,只是很迷惑,Z么总要不停的登录?BR>
Tomcat 4的“single sign-on”特性允许用户在讉K同一虚拟L下所有web应用Ӟ只需d一ơ。ؓ(f)?jin)用这个功能,你只需要在Host上添加一个SingleSignOn Valve元素卛_Q如下所C:(x)
QValve className=
"org.apache.catalina.
authenticator.SingleSignOn"
debug="0"/Q?BR>
在Tomcat初始安装后,server.xml的注释里面包括SingleSignOn Valve配置的例子,你只需要去掉注释,卛_使用。那么,M用户只要dq一个应用,则对于同一虚拟L下的所有应用同h效。用single sign-on valve有一些重要的限制Q?BR>
1Q?value必须被配|和嵌套在相同的Host元素里,q且所有需要进行单炚w证的web应用Q必通过context元素定义Q都位于该Host下?BR>
2Q?包括׃n用户信息的realm必须被设|在同一UHost中或者嵌套之外?BR>
3Q?不能被context中的realm覆盖?BR>
4Q?使用单点d的web应用最好用一个Tomcat的内|的验证方式Q被定义在web.xml中的Qauth-methodQ中Q,q比自定义的验证方式强,Tomcat内置的的验证方式包括basic、digest、form和client-cert?BR>
5Q?如果你用单点登录,q希望集成一个第三方的web应用C的网站中来,q且q个新的web应用使用它自q验证方式Q而不使用容器理安全Q那你基本上没招了(jin)。你的用hơ登录原来所有应用时需要登录一ơ,q且在请求新的第三方应用时还得再d一ơ?BR>
当然Q如果你拥有q个W三方web应用的源码,而你又是一个程序员Q你可以修改它,但那恐怕也不容易做?BR>
6Q?单点d需要用cookies?BR>
7、配|用户定制目录(Customized User DirectoresQ?/SPAN>
一些站点允怸别用户在服务器上发布|页。例如,一所大学的学院可能想l每一位学生一个公共区域,或者是一个ISP希望l一些webI间l他的客P但这又不是虚拟主机。在q种情况下,一个典型的Ҏ(gu)是在用户名前面加一个特D字W(~Q,作ؓ(f)每位用户的网站,比如Q?BR>
http://www.cs.myuniversity.edu/~username
http://members.mybigisp.com/~username
Tomcat提供两种Ҏ(gu)在主Z映射q些个h|站Q主要用一对特D的Listener元素。Listener的className属性应该是org.apache.catalina.startup.UserConfigQuserClass属性应该是几个映射cM一?BR>
如果你的pȝ是UnixQ它?yu)有一个标准的/etc/passwd文gQ该文g中的帐号能够被运行中的Tomcat很容易的dQ该文g指定?jin)用L(fng)ȝ录,使用PasswdUserDatabase 映射cR?BR>
QListener className=
"org.apache.catalina.startup.UserConfig"
directoryName="public_html"
userClass="org.apache.catalina.
startup.PasswdUserDatabase"/Q?BR>
web文g需要放|在?home/users/ian/public_html或?users/jbrittain/public_html一L(fng)目录下面。当然你也可以改变public_html 到其他Q何子目录下?BR>
实际上,q个用户目录Ҏ(gu)不一定需要位于用户主目录下里面。如果你没有一个密码文Ӟ但你又想把一个用户名映射到公q?home一L(fng)录的子目录里面,则可以用HomesUserDatabasecR?BR>
QListener className=
"org.apache.catalina.startup.UserConfig"
directoryName="public_html"
homeBase="/home"
userClass="org.apache.catalina.
startup.HomesUserDatabase"/Q?BR>
q样一来,web文g可以位于像/home/ian/public_html或?home/jasonb/public_html一L(fng)目录下。这UŞ式对Windows而言更加有利Q你可以使用一个像c:\homeq样的目录?BR>
q些Listener元素Q如果出玎ͼ则必dHost元素里面Q而不能在context元素里面Q因为它们都用应用于Host本n?BR>
8、在Tomcat中用CGI脚本
Tomcat主要是作为Servlet/JSP容器Q但它也有许多传lweb服务器的性能。支持通用|关接口QCommon Gateway InterfaceQ即CGIQ就是其中之一QCGI提供一l方法在响应览器请求时q行一些扩展程序?BR>
CGI之所以被UCؓ(f)通用Q是因ؓ(f)它能在大多数E序或脚本中被调用,包括QPerlQPythonQawkQUnix shell scripting{,甚至包括Java?BR>
当然Q你大概不会(x)把一个Java应用E序当作CGI来运行,毕竟q样太过原始。一般而言Q开发Servlet总要比CGIh更好的效率,因ؓ(f)当用L(fng)M个链接或一个按钮时Q你不需要从操作pȝ层开始进行处理?BR>
Tomcat包括一个可选的CGI ServletQ允怽q行遗留下来的CGI脚本?BR>
Z(jin)使Tomcat能够q行CGIQ你必须做如下几件事Q?BR>
1. 把servlets-cgi.renametojar Q在CATALINA_HOME/server/lib/目录下)(j)改名为servlets-cgi.jar。处理CGI的servlet应该位于Tomcat的CLASSPATH下?BR>
2. 在Tomcat的CATALINA_BASE/conf/web.xml 文g中,把关于<servlet-nameQ?CGI的那D늚注释LQ默认情况下Q该D位于第241行)(j)?BR>
3. 同样Q在Tomcat的CATALINA_BASE/conf/web.xml文g中,把关于对CGIq行映射的那D늚注释LQ默认情况下Q该D位于第299行)(j)。注意,q段内容指定?jin)HTML链接到CGI脚本的访问方式?BR>
4. 你可以把CGI脚本攄在WEB-INF/cgi 目录下(注意QW(xu)EB-INF是一个安全的地方Q你可以把一些不惌用户看见或基于安全考虑不想暴露的文件放在此处)(j)Q或者你也可以把CGI脚本攄在context下的其他目录下,qؓ(f)CGI Servlet调整cgiPathPrefix初始化参数。这指定的CGI Servlet的实际位|,且不能与上一步指定的URL重名?BR>
5. 重新启动TomcatQ你的CGI可以运行了(jin)?BR>
在Tomcat中,CGIE序~省攄在WEB-INF/cgi目录下,正如前面所提示的那PW(xu)EB-INF目录受保护的Q通过客户端的览器无法窥探到其中内容Q所以对于放|含有密码或其他敏感信息的CGI脚本而言Q这是一个非常好的地斏V?BR>
Z(jin)兼容其他服务器,管你也可以把CGI脚本保存在传l的/cgi-bin目录Q但要知道,在这些目录中的文件有可能被网上好奇的冲浪者看到。另外,在Unix中,L(fng)定运行Tomcat的用h执行CGI脚本的权限?BR>
9、改变Tomcat中的JSP~译器(JSP CompilerQ?/SPAN>
在Tomcat 4.1Q或更高版本Q大概)(j)QJSP的编译由包含在Tomcat里面的AntE序控制器直接执行。这听v来有一点点奇怪,但这正是Ant有意Z的一部分Q有一个API文档指导开发者在没有启动一个新的JVM的情况下Q用Ant?BR>
q是使用Antq行Java开发的一大优ѝ另外,q也意味着你现在能够在Ant中用Q何javac支持的编译方式,q里有一个关于Apache Ant使用手册的javac page列表?BR>
使用h是容易的Q因Z只需要在Qinit-paramQ?元素中定义一个名字叫“compiler”,q且在value中有一个支持编译的~译器名字,CZ如下Q?BR>
QservletQ?BR> Qservlet-nameQjspQ?servlet-nameQ?BR> Qservlet-classQ?BR> org.apache.jasper.servlet.JspServlet
Q?servlet-classQ?BR> Qinit-paramQ?BR> Qparam-nameQlogVerbosityLevel
Q?param-nameQ?BR> Qparam-valueQWARNINGQ?param-valueQ?BR> Q?init-paramQ?BR> Qinit-paramQ?BR> Qparam-nameQcompilerQ?param-nameQ?BR> Qparam-valueQjikesQ?param-valueQ?BR> Q?init-paramQ?BR> Qload-on-startupQ?Q?load-on-startupQ?BR> Q?servletQ?BR>
当然Q给出的~译器必dl安装在你的pȝ中,q且CLASSPATH可能需要设|,那处决于你选择的是何种~译器?BR>
10、限制特定主问(Restricting Access to Specific HostsQ?BR>
有时Q你可能想限制对Tomcat web应用的访问,比如Q你希望只有你指定的L或IP地址可以讉K你的应用。这样一来,只有那些指定的的客L(fng)可以讉K服务的内容了(jin)。ؓ(f)?jin)实现这U效果,Tomcat提供?jin)两个参C你配|:(x)RemoteHostValve 和RemoteAddrValve?BR>
通过配置q两个参敎ͼ可以让你qo(h)来自h的主机或IP地址Qƈ允许或拒l哪些主?IP。与之类似的Q在Apache的httpd文g里有Ҏ(gu)个目录的允许/拒绝指定。例如你可以把Admin Web application讄成只允许本地讉KQ设|如下:(x)
QContext path=
"/path/to/secret_files" ...Q?BR> QValve className="org.apache.
catalina.valves.RemoteAddrValve"
allow="127.0.0.1" deny=""/Q?BR> Q?ContextQ?BR>
如果没有l出允许L的指定,那么与拒l主机匹配的L׃(x)被拒l,除此之外的都是允许的。与之类|如果没有l出拒绝L的指定,那么与允怸机匹配的L׃(x)被允许,除此之外的都是拒l的?/FONT>
]]>