现在开发Java Web应用,构建和部署Web内容是一件非常简单的工作。使用雅加达Tomcat作为Servlet和JSP容器的人已经遍布全球。Tomcat免费,跨平台等诸多特性,而且更新快,所以现在很受欢迎。
你需要做的就是:根据你的需求配置Tomcat。只要配置正确,Tomcat一般都能满足你的需求。下面是一系列关于Tomcat的配置小技巧,希望对你有所帮助。
大多数商业J2EE服务器都提供了强大的管理界面,并且大多数都使用了易于理解的Web应用程序界面。Tomcat也以自己的方式提供了一个成熟的管理工具,丝毫不逊色于那些商业竞争对手。Tomcat的Admin Web应用最早出现在4.1版本,当时的功能包括管理上下文、数据源、用户和组等。当然,还可以管理初始化参数、用户、组、角色等各种数据库管理。在后续版本中,这些功能会有很大的扩展,但是现有的功能已经很实用了。管理Web应用程序是在自动部署文件中定义的:
CATALINA _ BASE/web apps/admin . XML .(译者注:CATALINA_BASE是tomcat安装目录下的服务器目录)
您必须编辑此文件,以确保上下文中的docBase参数是绝对路径。也就是说,catalina _ base/web apps/admin . XML的路径是绝对路径。或者,您可以删除这个自动部署文件,并在server.xml文件中创建一个Admin Web应用程序的上下文,效果是一样的。您不能管理管理Web应用程序。换句话说,除了删除catalina _ base/web apps/admin . XML,你大概什么也做不了。
如果您使用userDatabaseRealm(默认),您将需要向catalina _ base/conf/Tomcat-users . XML文件添加一个用户和一个角色。编辑该文件并向其中添加一个名为“admin”的角色,如下所示:
Role name='admin'/还有,需要有一个用户,这个用户的角色是“admin”。像现有用户一样添加用户(更改密码以使其更安全):
ser=' admin ' password=' deep _ dark _ secret ' roles=' admin '/完成这些步骤后,请重启Tomcat,访问http://localhost:8080/admin,就会看到一个登录界面。Admin Web应用采用基于容器管理的安全机制,采用Jakarta Struts框架。一旦您作为具有“admin”角色的用户登录到管理界面,您将能够使用这个管理界面配置Tomcat。
管理web应用程序允许您通过比管理Web应用程序更简单的用户界面来执行一些简单的Web应用程序任务。管理器Web应用程序是在自动部署文件中定义的:
catalina _ base/web apps/manager . XML你要编辑这个文件,确保context的docBase参数是绝对路径,也就是说catalina _ home/server/web apps/manager的绝对路径。(译者注:CATALINA_HOME是tomcat安装目录)
如果您使用的是UserDatabaseRealm,那么您需要向catalina _ base/conf/Tomcat-users . XML文件添加一个角色和一个用户。接下来,编辑该文件并向其中添加一个名为“manager”的角色:
Role name="manager "还需要一个具有" manager "角色的用户。像现有用户一样,添加一个新用户(更改密码以使其更安全):
user=' manager ' password=' deep _ dark _ secret ' roles=' manager '/然后重启Tomcat,访问http://localhost/manager/list,你会看到一个简单的基于文本的管理界面,或者访问3358 localhost/manager/html/list,你会看到一个HMTL管理界面。不管怎样,您的经理Web应用程序现在已经启动了。
管理应用程序允许您在没有系统管理权限的情况下安装新的Web应用程序进行测试。如果我们在/home/user/hello下有一个新的web应用程序,并希望将它安装在/hello下,为了测试这个应用程序,我们可以在第一个文件框中输入“/hello ”(作为访问时的路径),在第二个文件框中输入
文本框中输入“file:/home/user/hello”(作为Config URL)。Manager application还允许你停止、重新启动、移除以及重新部署一个web应用。停止一个应用使其无法被访问,当有用户尝试访问这个被停止的应用时,将看到一个503的错误??“503 - This application is not currently available”。
移除一个web应用,只是指从Tomcat的运行拷贝中删除了该应用,如果你重新启动Tomcat,被删除的应用将再次出现(也就是说,移除并不是指从硬盘上删除)。
拷贝你的WAR文件或者你的web应用文件夹(包括该web的所有内容)到$CATALINA_BASE/webapps目录下。为你的web服务建立一个只包括context内容的XML片断文件,并把该文件放到$CATALINA_BASE/webapps目录下。这个web应用本身可以存储在硬盘上的任何地方。如果你有一个WAR文件,你若想部署它,则只需要把该文件简单的拷贝到CATALINA_BASE/webapps目录下即可,文件必须以“.war”作为扩展名。一旦Tomcat监听到这个文件,它将(缺省的)解开该文件包作为一个子目录,并以WAR文件的文件名作为子目录的名字。
接下来,Tomcat将在内存中建立一个context,就好象你在server.xml文件里建立一样。当然,其他必需的内容,将从server.xml中的DefaultContext获得。
部署web应用的另一种方式是写一个Context XML片断文件,然后把该文件拷贝到CATALINA_BASE/webapps目录下。一个Context片断并非一个完整的XML文件,而只是一个context元素,以及对该应用的相应描述。
这种片断文件就像是从server.xml中切取出来的context元素一样,所以这种片断被命名为“context片断”。
举个例子,如果我们想部署一个名叫MyWebApp.war的应用,该应用使用realm作为访问控制方式,我们可以使用下面这个片断:
<!--Context fragment for deploying MyWebApp.war--><Context path="/demo"docBase="webapps/MyWebApp.war"debug="0" rivileged="true"><Realm className="org.apache.catalina.realm.UserDatabaseRealm"resourceName="UserDatabase"/></Context>把该片断命名为“MyWebApp.xml”,然后拷贝到CATALINA_BASE/webapps目录下。
这种context片断提供了一种便利的方法来部署web应用,你不需要编辑server.xml,除非你想改变缺省的部署特性,安装一个新的web应用时不需要重启动Tomcat。
基于名字的虚拟主机可以被建立在任何web服务器上,建立的方法就是通过在域名服务器(DNS)上建立IP地址的别名,并且告诉web服务器把去往不同域名的请求分发到相应的网页目录。因为这篇文章主要是讲Tomcat,我们不准备介绍在各种操作系统上设置DNS的方法,如果你在这方面需要帮助,请参考《DNS and Bind》一书,作者是Paul Albitz and Cricket Liu (O'Reilly)。为了示范方便,我将使用一个静态的主机文件,因为这是测试别名最简单的方法。
在Tomcat中使用虚拟主机,你需要设置DNS或主机数据。为了测试,为本地IP设置一个IP别名就足够了,接下来,你需要在server.xml中添加几行内容,如下:
<Server port="8005"shutdown="SHUTDOWN" debug="0"><Service name="Tomcat-Standalone"><Connector className="org.apache.coyote.tomcat4.CoyoteConnector"port="8080"minProcessors="5" maxProcessors="75"enableLookups="true"redirectPort="8443"/><Connector className="org.apache.coyote.tomcat4.CoyoteConnector"port="8443" minProcessors="5"maxProcessors="75"acceptCount="10" debug="0"scheme="https" secure="true"/><Factory className="org.apache.coyote.tomcat4.CoyoteServerSocketFactory"clientAuth="false" protocol="TLS" /></Connector><Engine name="Standalone"defaultHost="localhost" debug="0"><!-- This Host is the default Host --><Host name="localhost"debug="0" appBase="webapps"unpackWARs="true" autoDeploy="true"><Context path="" docBase="ROOT" debug="0"/><Context path="/orders"docBase="/home/ian/orders" debug="0"reloadable="true" crossContext="true"></Context></Host><!-- This Host is the first"Virtual Host": http://www.example.com/ --><Host name="www.example.com"appBase="/home/example/webapp"><Context path="" docBase="."/></Host></Engine></Service></Server>Tomcat的server.xml文件,在初始状态下,只包括一个虚拟主机,但是它容易被扩充到支持多个虚拟主机。在前面的例子中展示的是一个简单的server.xml版本,其中粗体部分就是用于添加一个虚拟主机。每一个Host元素必须包括一个或多个context元素,所包含的context元素中必须有一个是默认的context,这个默认的context的显示路径应该为空(例如,path=””)。
注意:使用Basic Authentication通过被认为是不安全的,因为它没有强健的加密方法,除非在客户端和服务器端都使用HTTPS或者其他密码加密码方式(比如,在一个虚拟私人网络中)。若没有额外的加密方法,网络管理员将能够截获(或滥用)用户的密码。
但是,如果你是刚开始使用Tomcat,或者你想在你的web应用中测试一下基于容器的安全管理,Basic Authentication还是非常易于设置和使用的。只需要添加 和 两个元素到你的web应用的web.xml文件中,并且在CATALINA_BASE/conf/tomcat-users.xml文件中添加适当的 和 即可,然后重新启动Tomcat。
下面例子中的web.xml摘自一个俱乐部会员网站系统,该系统中只有member目录被保护起来,并使用Basic Authentication进行身份验证。请注意,这种方式将有效的代替Apache web服务器中的.htaccess文件。
<!--Define theMembers-only area,by defininga "Security Constraint"on this Application, andmapping it to thesubdirectory (URL) that we wantto restrict.--><security-constraint><web-resource-collection><web-resource-name>Entire Application</web-resource-name><url-pattern>/members/*</url-pattern></web-resource-collection><auth-constraint><role-name>member</role-name></auth-constraint></security-constraint><!-- Define the LoginConfiguration forthis Application --><login-config><auth-method>BASIC</auth-method><realm-name>My ClubMembers-only Area</realm-name></login-config>
如果你运行了多个web应用,并且每个应用都需要进行单独的用户验证,那这看起来就有点像你在与你的用户搏斗。用户们不知道怎样才能把多个分离的应用整合成一个单独的系统,所有他们也就不知道他们需要访问多少个不同的应用,只是很迷惑,为什么总要不停的登录。
Tomcat 4的“single sign-on”特性允许用户在访问同一虚拟主机下所有web应用时,只需登录一次。为了使用这个功能,你只需要在Host上添加一个SingleSignOn Valve元素即可,如下所示:
<Valve className="org.apache.catalina.authenticator.SingleSignOn"debug="0"/>在Tomcat初始安装后,server.xml的注释里面包括SingleSignOn Valve配置的例子,你只需要去掉注释,即可使用。那么,任何用户只要登录过一个应用,则对于同一虚拟主机下的所有应用同样有效。使用single sign-on valve有一些重要的限制:
value必须被配置和嵌套在相同的Host元素里,并且所有需要进行单点验证的web应用(必须通过context元素定义)都位于该Host下。包括共享用户信息的realm必须被设置在同一级Host中或者嵌套之外。不能被context中的realm覆盖。使用单点登录的web应用最好使用一个Tomcat的内置的验证方式(被定义在web.xml中的 中),这比自定义的验证方式强,Tomcat内置的的验证方式包括basic、digest、form和client-cert。如果你使用单点登录,还希望集成一个第三方的web应用到你的网站中来,并且这个新的web应用使用它自己的验证方式,而不使用容器管理安全,那你基本上就没招了。你的用户每次登录原来所有应用时需要登录一次,并且在请求新的第三方应用时还得再登录一次。当然,如果你拥有这个第三方web应用的源码,而你又是一个程序员,你可以修改它,但那恐怕也不容易做。单点登录需要使用cookies。
http://www.cs.myuniversity.edu/~usernamehttp://members.mybigisp.com/~usernameTomcat提供两种方法在主机上映射这些个人网站,主要使用一对特殊的Listener元素。Listener的className属性应该是org.apache.catalina.startup.UserConfig,userClass属性应该是几个映射类之一。
如果你的系统是Unix,它将有一个标准的/etc/passwd文件,该文件中的帐号能够被运行中的Tomcat很容易的读取,该文件指定了用户的主目录,使用PasswdUserDatabase 映射类。
<Listener className= "org.apache.catalina.startup.UserConfig" directoryName="public_html" userClass="org.apache.catalina.startup.PasswdUserDatabase"/>web文件需要放置在像/home/users/ian/public_html或者/users/jbrittain/public_html一样的目录下面。当然你也可以改变public_html 到其他任何子目录下。
实际上,这个用户目录根本不一定需要位于用户主目录下里面。如果你没有一个密码文件,但你又想把一个用户名映射到公共的像/home一样目录的子目录里面,则可以使用HomesUserDatabase类。
<Listener className="org.apache.catalina.startup.UserConfig"directoryName="public_html"homeBase="/home"userClass="org.apache.catalina.startup.HomesUserDatabase"/>这样一来,web文件就可以位于像/home/ian/public_html或者/home/jasonb/public_html一样的目录下。这种形式对Windows而言更加有利,你可以使用一个像c:\home这样的目录。
这些Listener元素,如果出现,则必须在Host元素里面,而不能在context元素里面,因为它们都用应用于Host本身。
CGI之所以被称为通用,是因为它能在大多数程序或脚本中被调用,包括:Perl,Python,awk,Unix shell scripting等,甚至包括Java。
当然,你大概不会把一个Java应用程序当作CGI来运行,毕竟这样太过原始。一般而言,开发Servlet总要比CGI具有更好的效率,因为当用户点击一个链接或一个按钮时,你不需要从操作系统层开始进行处理。
Tomcat包括一个可选的CGI Servlet,允许你运行遗留下来的CGI脚本。
为了使Tomcat能够运行CGI,你必须做如下几件事:
把servlets-cgi.renametojar (在CATALINA_HOME/server/lib/目录下)改名为servlets-cgi.jar。处理CGI的servlet应该位于Tomcat的CLASSPATH下。在Tomcat的CATALINA_BASE/conf/web.xml 文件中,把关于 CGI的那段的注释去掉(默认情况下,该段位于第241行)。同样,在Tomcat的CATALINA_BASE/conf/web.xml文件中,把关于对CGI进行映射的那段的注释去掉(默认情况下,该段位于第299行)。注意,这段内容指定了HTML链接到CGI脚本的访问方式。你可以把CGI脚本放置在WEB-INF/cgi 目录下(注意,WEB-INF是一个安全的地方,你可以把一些不想被用户看见或基于安全考虑不想暴露的文件放在此处),或者你也可以把CGI脚本放置在context下的其他目录下,并为CGI Servlet调整cgiPathPrefix初始化参数。这就指定的CGI Servlet的实际位置,且不能与上一步指定的URL重名。重新启动Tomcat,你的CGI就可以运行了。在Tomcat中,CGI程序缺省放置在WEB-INF/cgi目录下,正如前面所提示的那样,WEB-INF目录受保护的,通过客户端的浏览器无法窥探到其中内容,所以对于放置含有密码或其他敏感信息的CGI脚本而言,这是一个非常好的地方。
为了兼容其他服务器,尽管你也可以把CGI脚本保存在传统的/cgi-bin目录,但要知道,在这些目录中的文件有可能被网上好奇的冲浪者看到。另外,在Unix中,请确定运行Tomcat的用户有执行CGI脚本的权限。
这是使用Ant进行Java开发的一大优势。另外,这也意味着你现在能够在Ant中使用任何javac支持的编译方式,这里有一个关于Apache Ant使用手册的javac page列表。
使用起来是容易的,因为你只需要在 元素中定义一个名字叫“compiler”,并且在value中有一个支持编译的编译器名字,示例如下:
<servlet><servlet-name>jsp</servlet-name><servlet-class>org.apache.jasper.servlet.JspServlet</servlet-class><init-param><param-name>logVerbosityLevel</param-name><param-value>WARNING</param-value></init-param><init-param><param-name>compiler</param-name><param-value>jikes</param-value></init-param><load-on-startup>3</load-on-startup></servlet>当然,给出的编译器必须已经安装在你的系统中,并且CLASSPATH可能需要设置,那处决于你选择的是何种编译器。
通过配置这两个参数,可以让你过滤来自请求的主机或IP地址,并允许或拒绝哪些主机/IP。与之类似的,在Apache的httpd文件里有对每个目录的允许/拒绝指定。例如你可以把Admin Web application设置成只允许本地访问,设置如下:
<Context path="/path/to/secret_files" ...><Valve className="org.apache.catalina.valves.RemoteAddrValve"allow="127.0.0.1" deny=""/></Context>如果没有给出允许主机的指定,那么与拒绝主机匹配的主机就会被拒绝,除此之外的都是允许的。与之类似,如果没有给出拒绝主机的指定,那么与允许主机匹配的主机就会被允许,除此之外的都是拒绝的。
