BlogJava-The NoteBook of EricKong-随笔分类-tomcat

Tomcat配置https及访问http自动跳转至https

Eric_jiang — Wed, 15 Jul 2015 00:51:00 GMT

摘要: https介绍: HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。它是一个URI scheme（抽象标识符体系），句法类同http:体系。用于... 阅读全文

Eric_jiang 2015-07-15 08:51 发表评论

Tomcat优化

Eric_jiang — Mon, 11 May 2015 08:11:00 GMT

1. 如何加大tomcat连接数

在tomcat配置文件server.xml中的配置中，和连接数相关的参数有：

maxThreads ： tomcat起动的最大线程数，即同时处理的任务个数，默认值为200。

minProcessors：最小空闲连接线程数，用于提高系统处理性能，默认值为10 。

maxProcessors：最大连接线程数，即：并发处理的最大请求数，默认值为75 。

acceptCount：当tomcat起动的线程数达到最大时，接受排队的请求个数，默认值为100。

minSpareThreads ：Tomcat初始化时创建的线程数。

maxSpareThreads ：一旦创建的线程超过这个值，Tomcat就会关闭不再需要的socket线程。

enableLookups：是否反查域名，取值为：true或false。缺省值为false,表示使用客户端主机名的DNS解析功能，被ServletRequest.getRemoteHost方法调用。

connectionTimeout：网络连接超时，单位：毫秒。设置为0表示永不超时，这样设置有隐患的。通常可设置为30000毫秒。

其中和最大连接数相关的参数为maxProcessors和acceptCount。如果要加大并发连接数，应同时加大这两个参数。

web server允许的最大连接数还受制于操作系统的内核参数设置，通常Windows是2000个左右，Linux是1000个左右。

Unix中如何设置这些参数，请参阅Unix常用监控和管理命令

tomcat5中的配置示例：

对于其他端口的侦听配置，以此类推。
2. tomcat中如何禁止列目录下的文件

在{tomcat_home}/conf/web.xml中，把listings参数设置成false即可，如下：

... listings false ...

3. 如何加大tomcat可以使用的内存

tomcat默认可以使用的内存为128MB，在较大型的应用项目中，这点内存是不够的，需要调大。
Unix下，在文件{tomcat_home}/bin/catalina.sh的前面，增加如下设置：

JAVA_OPTS='-Xms【初始化内存大小】 -Xmx【可以使用的最大内存】' 需要把这个两个参数值调大。

例如： JAVA_OPTS='-Xms256m -Xmx512m' 表示初始化内存为256MB，可以使用的最大内存为512MB 。

export JAVA_HOME='/home/ftpuser/xjSheetHome/java/jdk1.5.0_22/'

JAVA_OPTS="-Xms1500m -Xmx1500m -Xss1024K -XX:PermSize=128m -XX:MaxPermSize=256m -Dfile.encoding=GBK"

参数说明：

-Xms 是指设定程序启动时占用内存大小。一般来讲，大点，程序会启动的快一点，但是也可能会导致机器暂时间变慢。

-Xmx 是指设定程序运行期间最大可占用的内存大小。如果程序运行需要占用更多的内存，超出了这个设置值，就会抛出OutOfMemory 异常。

-Xss 是指设定每个线程的堆栈大小。这个就要依据你的程序，看一个线程大约需要占用多少内存，可能会有多少线程同时运行等。

-XX:PermSize设置非堆内存初始值，默认是物理内存的1/64 。

-XX:MaxPermSize设置最大非堆内存的大小，默认是物理内存的1/4。

                        type="javax.sql.DataSource"
                        username="SHEET" password="SHEET"
            driverClassName="oracle.jdbc.driver.OracleDriver"
            url="jdbc:oracle:thin:@136.24.248.106:1521:kf"
            maxActive="1000" maxIdle="75"/>
            global="UserTransaction"
            type="javax.transaction.UserTransaction"/>

参数说明：
defaultSessionTimeOut：设置会话时间单位为秒
maxActive ：连接池的最大数据库连接数。设为0表示无限制。
maxIdle ：可以同时闲置在连接池中的连接的最大数
maxWait ：最大超时时间，以毫秒计

Eric_jiang 2015-05-11 16:11 发表评论

Tomcat 并发优化

Eric_jiang — Mon, 11 May 2015 08:03:00 GMT

摘要: 首先先介绍一款知名的网站压力测试工具:webbench. Webbench能测试处在相同硬件上，不同服务的性能以及不同硬件上同一个服务的运行状况。webbench的标准测试可以向我们展示服务器的两项内容：每分钟相应请求数和每秒钟传输数据量。webbench不但能具有便准静态页面的测试能力，还能对动态页面（ASP,PHP,JAVA,CGI）进行测试的能力。还有就是他支持对含有SSL的安全网站例如... 阅读全文

Eric_jiang 2015-05-11 16:03 发表评论

TOMCAT优化

Eric_jiang — Mon, 11 May 2015 07:58:00 GMT

1.内存设置(VM参数调优)
(1). Windows环境下，是tomcat解压版(执行startup.bat启动tomcat) ,解决办法:
修改“%TOMCAT_HOME%\bin\catalina.bat”文件，在文件开头增加如下设置：
set JAVA_OPTS=-Xms512m -Xmx512m -XX:PermSize=128M -XX:MaxNewSize=256m -XX:MaxPermSize=512m
备注：一定加在catalina.bat最前面。
(2). Windows环境下，是tomcat安装版(利用windows的系统服务启动tomcat),解决办法:
修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Apache Software Foundation\Procrun 2.0\Tomcat6\Parameters\JavaOptions
原值为:
-Dcatalina.home=E:\Tomcat 6.0
-Dcatalina.base=E:\Tomcat 6.0
-Djava.endorsed.dirs=E:\Tomcat 6.0\common\endorsed
-Djava.io.tmpdir=E:\Tomcat 6.0\temp
-Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager
-Djava.util.logging.config.file=E:\Tomcat 6.0\conf\logging.properties
加入：
Xms512m -Xmx512m -XX:PermSize=128M -XX:MaxNewSize=256m -XX:MaxPermSize=512m
重起tomcat服务,设置生效。
(3). Linux环境下, ,解决办法:
修改“%TOMCAT_HOME%\bin\catalina.sh”文件，在文件开头增加如下设置：JAVA_OPTS=’-Xms256m -Xmx512m’

各参数详解：
-Xms：设置JVM初始内存大小(默认是物理内存的1/64)
-Xmx：设置JVM可以使用的最大内存(默认是物理内存的1/4，建议：物理内存80%)
-Xmn：设置JVM最小内存(128-256m就够了,一般不设置)
默认空余堆内存小于 40%时，JVM就会增大堆直到-Xmx的最大限制；空余堆内存大于70%时，JVM会减少堆直到-Xms的最小限制。因此服务器一般设置-Xms、 -Xmx相等以避免在每次GC 后调整堆的大小。
在较大型的应用项目中，默认的内存是不够的，有可能导致系统无法运行。常见的问题是报Tomcat内存溢出错误“java.lang.OutOfMemoryError: Java heap space”，从而导致客户端显示500错误。

-XX:PermSize ：为JVM启动时Perm的内存大小
-XX:MaxPermSize ：为最大可占用的Perm内存大小(默认为32M)
-XX:MaxNewSize，默认为16M
PermGen space的全称是Permanent Generation space,是指内存的永久保存区域，这块内存主要是被JVM存放Class和Meta信息的,Class在被Loader时就会被放到PermGen space中，它和存放类实例(Instance)的Heap区域不同,GC(Garbage Collection)不会在主程序运行期对PermGen space进行清理，所以如果你的应用中有很CLASS的话,就很可能出现“java.lang.OutOfMemoryError: PermGen space”错误。
对于WEB项目，jvm加载类时，永久域中的对象急剧增加，从而使jvm不断调整永久域大小，为了避免调整)，你可以使用更多的参数配置。如果你的WEB APP下都用了大量的第三方jar, 其大小超过了jvm默认的大小,那么就会产生此错误信息了。
其它参数：
-XX:NewSize ：默认为2M，此值设大可调大新对象区，减少Full GC次数
-XX:NewRatio ：改变新旧空间的比例，意思是新空间的尺寸是旧空间的1/8（默认为8）
-XX:SurvivorRatio ：改变Eden对象空间和残存空间的尺寸比例，意思是Eden对象空
间的尺寸比残存空间大survivorRatio+2倍（缺省值是10）
-XX:userParNewGC 可用来设置并行收集【多CPU】
-XX:ParallelGCThreads 可用来增加并行度【多CPU】
-XXUseParallelGC 设置后可以使用并行清除收集器【多CPU】
2.修改tomcat让其支持NIO
修改前：
protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443"/>
修改成支持NIO的类型，配置如下：
protocol="org.apache.coyote.http11.Http11NioProtocol " connectionTimeout="20000" redirectPort="8443" />
3.并发数设置
默认的tomcat配置，并发测试时，可能30个USER上去就当机了。
添加

maxThreads="600" //最大线程数
minSpareThreads="100" //初始化时创建的线程数
maxSpareThreads="500" //一旦线程超过这个值，Tomcat会关闭不需要的socket线程
acceptCount="700"//指定当所有可以使用的处理请求的线程数都被使用时，可以放到
处理队列中的请求数，超过这个数的请求将不予处理
connectionTimeout="20000"
redirectPort="8443" />

或者
name="tomcatThreadPool" namePrefix="catalina-exec-" maxThreads="500" minSpareThreads="400" />

executor="tomcatThreadPool" port="80" protocol="HTTP/1.1" connectionTimeout="20000" enableLookups="false"
redirectPort="8443" URIEncoding="UTF-8" acceptCount="1000" />
4.Java虚拟机调优
应该选择SUN的JVM，在满足项目需要的前提下，尽量选用版本较高的JVM，一般来说高版本产品在速度和效率上比低版本会有改进。 JDK1.4比JDK1.3性能提高了近10%-20%，JDK1.5比JDK1.4性能提高25%-75%。
5.禁用DNS查询
设置enableLookups="false"：
enableLookups="false" redirectPort="8443" URIEncoding="UTF-8" acceptCount="1000" />
　当web应用程序向要记录客户端的信息时，它也会记录客户端的IP地址或者通过域名服务器查找机器名转换为IP地址。DNS查询需要占用网络，并且包括可能从很多很远的服务器或者不起作用的服务器上去获取对应的IP的过程，这样会消耗一定的时间。为了消除DNS查询对性能的影响我们可以关闭 DNS查询，方式是修改server.xml文件中的enableLookups参数值为false。
6.设置解决乱码问题
URIEncoding="UTF-8" acceptCount="1000" />

二、TOMCAT内存监控

1.设置tomcat的perm size:

2.开启监控

在命令行输入jconsole，在弹出窗口中建立本地端口监控，如下图：

使用安装版Tomcat 6.0 ，打开tomcat界面选择java这一项，在java options:
加入

Java代码

-Djava.rmi.server.hostname=127.0.0.1
-Dcom.sun.management.jmxremote.port=8088
-Dcom.sun.management.jmxremote.ssl=false
-Dcom.sun.management.jmxremote.authenticate=false

[java] view plain copy print ?

-Djava.rmi.server.hostname=127.0.0.1
-Dcom.sun.management.jmxremote.port=8088
-Dcom.sun.management.jmxremote.ssl=false
-Dcom.sun.management.jmxremote.authenticate=false

使用jconsole 127.0.0.1:8088可以连接成功，也能看到jvm运行情况，
但此时访问已经部署的应用，却提示“无法显示网页”
今天又研究了一会，猜想了一下是不是这个端口独占的，不能和应用冲突，把Dcom.sun.management.jmxremote.port=8088 改为80，重启tomcat 果然，应用可以访问。之后去网上看来些相关信息，确实为两个端口，不能占用。

Eric_jiang 2015-05-11 15:58 发表评论

Apache HTTP Server 与 Tomcat 的三种连接方式介绍

Eric_jiang — Thu, 19 Mar 2015 09:35:00 GMT

首先我们先介绍一下为什么要让 Apache 与 Tomcat 之间进行连接。事实上 Tomcat 本身已经提供了 HTTP 服务，该服务默认的端口是 8080，装好 tomcat 后通过 8080 端口可以直接使用 Tomcat 所运行的应用程序，你也可以将该端口改为 80。

既然 Tomcat 本身已经可以提供这样的服务，我们为什么还要引入 Apache 或者其他的一些专门的 HTTP 服务器呢？原因有下面几个：

1. 提升对静态文件的处理性能

2. 利用 Web 服务器来做负载均衡以及容错

3. 无缝的升级应用程序

这三点对一个 web 网站来说是非常之重要的，我们希望我们的网站不仅是速度快，而且要稳定，不能因为某个 Tomcat 宕机或者是升级程序导致用户访问不了，而能完成这几个功能的、最好的 HTTP 服务器也就只有 apache 的 http server 了，它跟 tomcat 的结合是最紧密和可靠的。

接下来我们介绍三种方法将 apache 和 tomcat 整合在一起。

JK

这是最常见的方式，你可以在网上找到很多关于配置JK的网页，当然最全的还是其官方所提供的文档。JK 本身有两个版本分别是 1 和 2，目前 1 最新的版本是 1.2.19，而版本 2 早已经废弃了，以后不再有新版本的推出了，所以建议你采用版本 1。

JK 是通过 AJP 协议与 Tomcat 服务器进行通讯的，Tomcat 默认的 AJP Connector 的端口是 8009。JK 本身提供了一个监控以及管理的页面 jkstatus，通过 jkstatus 可以监控 JK 目前的工作状态以及对到 tomcat 的连接进行设置，如下图所示：

图 1：监控以及管理的页面 jkstatus

在这个图中我们可以看到当前JK配了两个连接分别到 8109 和 8209 端口上，目前 s2 这个连接是停止状态，而 s1 这个连接自上次重启后已经处理了 47 万多个请求，流量达到 6.2 个 G，最大的并发数有 13 等等。我们也可以利用 jkstatus 的管理功能来切换 JK 到不同的 Tomcat 上，例如将 s2 启用，并停用 s1，这个在更新应用程序的时候非常有用，而且整个切换过程对用户来说是透明的，也就达到了无缝升级的目的。关于 JK 的配置文章网上已经非常多了，这里我们不再详细的介绍整个配置过程，但我要讲一下配置的思路，只要明白了配置的思路，JK 就是一个非常灵活的组件。

JK 的配置最关键的有三个文件，分别是

httpd.conf
Apache 服务器的配置文件，用来加载 JK 模块以及指定 JK 配置文件信息

workers.properties
到 Tomcat 服务器的连接定义文件

uriworkermap.properties
URI 映射文件，用来指定哪些 URL 由 Tomcat 处理，你也可以直接在 httpd.conf 中配置这些 URI，但是独立这些配置的好处是 JK 模块会定期更新该文件的内容，使得我们修改配置的时候无需重新启动 Apache 服务器。

其中第二、三个配置文件名都可以自定义。下面是一个典型的 httpd.conf 对 JK 的配置

# (httpd.conf) # 加载 mod_jk 模块 LoadModule jk_module modules/mod_jk.so  # # Configure mod_jk #  JkWorkersFile conf/workers.properties JkMountFile conf/uriworkermap.properties JkLogFile logs/mod_jk.log JkLogLevel warn

接下来我们在 Apache 的 conf 目录下新建两个文件分别是 workers.properties、uriworkermap.properties。这两个文件的内容大概如下

# # workers.properties #   # list the workers by name  worker.list=DLOG4J, status  # localhost server 1 # ------------------------ worker.s1.port=8109 worker.s1.host=localhost worker.s1.type=ajp13  # localhost server 2 # ------------------------ worker.s2.port=8209 worker.s2.host=localhost worker.s2.type=ajp13 worker.s2.stopped=1  worker.DLOG4J.type=lb worker.retries=3 worker.DLOG4J.balanced_workers=s1, s2 worker.DLOG4J.sticky_session=1  worker.status.type=status

以上的 workers.properties 配置就是我们前面那个屏幕抓图的页面所用的配置。首先我们配置了两个类型为 ajp13 的 worker 分别是 s1 和 s2，它们指向同一台服务器上运行在两个不同端口 8109 和 8209 的 Tomcat 上。接下来我们配置了一个类型为 lb（也就是负载均衡的意思）的 worker，它的名字是 DLOG4J，这是一个逻辑的 worker，它用来管理前面配置的两个物理连接 s1 和 s2。最后还配置了一个类型为 status 的 worker，这是用来监控 JK 本身的模块。有了这三个 worker 还不够，我们还需要告诉 JK，哪些 worker 是可用的，所以就有 worker.list = DLOG4J, status 这行配置。

接下来便是 URI 的映射配置了，我们需要指定哪些链接是由 Tomcat 处理的，哪些是由 Apache 直接处理的，看看下面这个文件你就能明白其中配置的意义

/*=DLOG4J /jkstatus=status  !/*.gif=DLOG4J !/*.jpg=DLOG4J !/*.png=DLOG4J !/*.css=DLOG4J !/*.js=DLOG4J !/*.htm=DLOG4J !/*.html=DLOG4J

相信你已经明白了一大半了：所有的请求都由 DLOG4J 这个 worker 进行处理，但是有几个例外，/jkstatus 请求由 status 这个 worker 处理。另外这个配置中每一行数据前面的感叹号是什么意思呢？感叹号表示接下来的 URI 不要由 JK 进行处理，也就是 Apache 直接处理所有的图片、css 文件、js 文件以及静态 html 文本文件。

通过对 workers.properties 和 uriworkermap.properties 的配置，可以有各种各样的组合来满足我们前面提出对一个 web 网站的要求。您不妨动手试试！

回页首

http_proxy

这是利用 Apache 自带的 mod_proxy 模块使用代理技术来连接 Tomcat。在配置之前请确保是否使用的是 2.2.x 版本的 Apache 服务器。因为 2.2.x 版本对这个模块进行了重写，大大的增强了其功能和稳定性。

http_proxy 模式是基于 HTTP 协议的代理，因此它要求 Tomcat 必须提供 HTTP 服务，也就是说必须启用 Tomcat 的 HTTP Connector。一个最简单的配置如下

ProxyPass /images ! ProxyPass /css ! ProxyPass /js ! ProxyPass / http://localhost:8080/

在这个配置中，我们把所有 http://localhost 的请求代理到 http://localhost:8080/ ，这也就是 Tomcat 的访问地址，除了 images、css、js 几个目录除外。我们同样可以利用 mod_proxy 来做负载均衡，再看看下面这个配置

ProxyPass /images ! ProxyPass /css !  ProxyPass /js !  ProxyPass / balancer://example/  BalancerMember http://server1:8080/ BalancerMember http://server2:8080/ BalancerMember http://server3:8080/

配置比 JK 简单多了，而且它也可以通过一个页面来监控集群运行的状态，并做一些简单的维护设置。

图 2：监控集群运行状态

回页首

ajp_proxy

ajp_proxy 连接方式其实跟 http_proxy 方式一样，都是由 mod_proxy 所提供的功能。配置也是一样，只需要把 http:// 换成 ajp:// ，同时连接的是 Tomcat 的 AJP Connector 所在的端口。上面例子的配置可以改为：

ProxyPass /images ! ProxyPass /css !  ProxyPass /js !  ProxyPass / balancer://example/  BalancerMember ajp://server1:8080/ BalancerMember ajp://server2:8080/ BalancerMember ajp://server3:8080/

采用 proxy 的连接方式，需要在 Apache 上加载所需的模块，mod_proxy 相关的模块有 mod_proxy.so、mod_proxy_connect.so、mod_proxy_http.so、mod_proxy_ftp.so、mod_proxy_ajp.so，其中 mod_proxy_ajp.so 只在 Apache 2.2.x 中才有。如果是采用 http_proxy 方式则需要加载 mod_proxy.so 和 mod_proxy_http.so；如果是 ajp_proxy 则需要加载 mod_proxy.so 和 mod_proxy_ajp.so这两个模块。

回页首

三者比较

相对于 JK 的连接方式，后两种在配置上是比较简单的，灵活性方面也一点都不逊色。但就稳定性而言就不像 JK 这样久经考验，毕竟 Apache 2.2.3 推出的时间并不长，采用这种连接方式的网站还不多，因此，如果是应用于关键的互联网网站，还是建议采用 JK 的连接方式。

Eric_jiang 2015-03-19 17:35 发表评论

IHS配置多域名的SSL证书

Eric_jiang — Tue, 13 May 2014 04:47:00 GMT

SSL v2的设计顺应经典的公钥基础设施PKI(public key infrastructure)设计，后者认为一个服务器只提供一个服务从而也就只使用一个证书。这意味着服务器可以在TLS启动的早期阶段发送或提交证书，因为它知道它在为哪个域服务。HTTP服务器开启虚拟主机支持后，每个服务器通过相同的地址可以为很多域提供服务。服务器检查每一个请求来决定它在为哪个域服务。这个信息通常从HTTP请求头获得。不幸的是，当设置了TLS加密，服务器在读取HTTP请求里面的域名之前已经向客户端提交了证书，也就是已经为默认域提供了服务。因此，这种为虚拟主机提供安全的简单途径经常导致使用了错误的数字证书，从而导致浏览器对用户发出警告。

以上描述摘自OpenWares。详细了解请到：服务器名字指示SNI(Server Name Indication)

即访问www.buyberry.net会读取到beta.buyberry.net的证书，这样浏览器会报证书错误。

因此需要Server Name Indication (RFC 4366)这个扩展协议来修正。标准apache是支持Name Based SSL VHosts With SNI 。前提需要 OpenSSL 0.9.8f 之后才能支持。但是IHS并不支持这个扩展协议。

只能使用基于端口或者基于IP的虚拟主机来workaround

LoadModule ibm_ssl_module modules/mod_ibm_ssl.so

Listen 443

Listen 444

NameVirtualHost www.buyberry.net:443

ServerName www.buyberry.net

SSLCipherSpec 34

SSLCipherSpec 35

SSLCipherSpec 3A

SSLCipherSpec 33

SSLCipherSpec 36

SSLCipherSpec 39

SSLCipherSpec 32

SSLCipherSpec 31

SSLCipherSpec 30

DocumentRoot “/ihs/htdocs”

SSLEnable

SSLClientAuth none

Keyfile “/ihs/sslkey20121227/key.kdb”

ErrorLog logs/ssl1_error_log

CustomLog logs/ssl1_access_log common env=!image
#########################################

NameVirtualHost beta.buyberry.net:444

ServerName beta.buyberry.net

SSLCipherSpec 34

SSLCipherSpec 35

SSLCipherSpec 3A

SSLCipherSpec 33

SSLCipherSpec 36

SSLCipherSpec 39

SSLCipherSpec 32

SSLCipherSpec 31

SSLCipherSpec 30

DocumentRoot “/ihs/htdocs”

SSLEnable

SSLClientAuth none

Keyfile “/ihs/2012key/2012key.kdb”

ErrorLog logs/ssl2_error_log

CustomLog logs/ssl2_access_log common env=!image

Eric_jiang 2014-05-13 12:47 发表评论

Java Socket HTTP 请求

Eric_jiang — Fri, 29 Nov 2013 02:13:00 GMT

package com.test.socket;

import java.io.*;

import java.net.*;

public class HTTPSocket

{

public static void main(String[ ] args) throws UnknownHostException, IOException

{

String host = "127.0.0.1";

int port = 8080;

Socket socket = new Socket(host, port);

BufferedWriter out = new BufferedWriter(new OutputStreamWriter(socket.getOutputStream()));

BufferedReader in = new BufferedReader(new InputStreamReader(socket.getInputStream()));

StringBuffer sb = new StringBuffer();

//请求的连接地址

sb.append("GET /PortalGuard/Index.jsp HTTP/1.1\r\n")

.append("Host:"+ host + "\r\n")

.append("Content-Type:application/x-www-form-urlencoded\r\n")

.append("Content-Length:11\r\n") //11 这个数值是看底下内容的长度的即多少个字符

.append("\r\n")

.append("id=01234567\r\n"); //内容

out.write(sb.toString());

out.flush();

//打印响应

String line = "";

while((line = in.readLine()) != null)

System.out.println(line);

}

Eric_jiang 2013-11-29 10:13 发表评论

简单实现HTTP服务器来理解GET和POST区别

Eric_jiang — Fri, 29 Nov 2013 01:46:00 GMT

摘要: ET请求和POST请求有什么区别？GET请求的参数在URL的问号后面显示，而POST参数不在URL上；POST可以比GET请求更大的数据…一般的回答都是这样。但是作为一个高端大气上档次的程序员，这样回答就弱爆了。为了搞清楚GET和POST的区别，下面写了一个Java程序来接收HTTP请求。HTTP是基于TCP协议的，所以可以使用Java最底层的Socket实现。下面的程序仅仅不到10行... 阅读全文

Eric_jiang 2013-11-29 09:46 发表评论

TOMCAT-SSL双向认证-配置实例

Eric_jiang — Thu, 28 Nov 2013 09:23:00 GMT

SSL (Secure Socket Layer - 安全套接字层)

功能：保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，确保数据在网络上之传输过程中不会被截取及窃听，防止篡改。

如何让我们的WEB应用程序应用SSL安全保障？经过几天摸索，终于实现 TOMCAT+SSL 双向认证，也就是说，首先，客户端将要认证服务器的安全性，确保访问的是正确的服务器，而非假冒的钓鱼网站；其次，服务器也要认证客户端的安全性，只有那些拥有服务器授权证书的客户端才可以访问。

下面请遵循详细步骤

1. 在D盘建立目录：mykeys

2. 启动命令行，并转移到 d:/mykeys

a) 创建服务器密钥，其密钥库为 d:/mykeys/server.ks，注意keypass和storepass保持一致，它们分别代表密钥密码和密钥库密码，注意 CN=localhost 中，localhost表示要配置SSL的主机名，不能任意指定
D:/mykeys>keytool -genkey -v -alias serverKey -dname "CN=localhost" -keyalg RSA -keypass rwm258-keystore server.ks -storepass rwm258

b) 创建客户端密钥，其密钥库为 d:/mykeys/client.p12，注意这个密钥库的后缀名，注意密钥库类型PKCS12
D:/mykeys>keytool -genkey -v -alias clientKey -dname "CN=SomeOne" -keyalg RSA -keypass lyl147 -keystore client.p12 -storepass lyl147 -storetype PKCS12

c) 将客户端密钥导出为证书文件
D:/mykeys>keytool -export -alias clientKey -file clientKey.cer -keystore client.p12 -storepass lyl147 -storetype PKCS12

d) 将上述客户端密钥文件导入服务器证书库，并设置为信任证书；注意会问你是否信任该证书，回答 y 即可
D:/mykeys>keytool -import -v -alias clientKey -file clientKey.cer -keystore server.ks -storepass rwm258

3. 为了在本机浏览器中进行SSL访问，请：双击 d:/mykeys/client.p12 ，将启动证书向导

a) 第2步：要导入的文件文件名 D:/mykeys/client.p12

b) 第3步：为私钥键入密码lyl147 ，勾选：标志此密钥为可导出的

c) 第4步：证书存储，选：将所有的证书放入下列存储区，然后，浏览-个人

d) 现在，打开IE，查看证书：工具-Internet选项-内容-证书-个人，可以看到 SomeOne 证书已被安装

4. 配置TOMCAT服务器，以支持SSL认证，编辑文件：%tomcat_home%/conf/server.xml，下面这段配置代码本来是被屏蔽的，现在请取消其屏蔽，并相应增加密钥库的配置，其中clientAuth="true"用以启动双向认证，否则，只有客户端认证服务器-单向

maxThreads="150" scheme="https" secure="true"

clientAuth="true" sslProtocol="TLS"

keystoreFile="D:/mykeys/server.ks" keystorePass="rwm258"

truststoreFile="D:/mykeys/server.ks " truststorePass=" rwm258" />

5. 启动 TOMCAT，然后在IE浏览器中访问：https://localhost:8443/

a) 将弹出一个消息框，这是要客户端认证服务器，查看证书可看到服务器证书为 localhost ，回顾前面的步骤，正是我们创建的那个服务器证书；这里点是

b) 页面出现，说明客户端被允许访问

6. 现在，再次打开IE，工具-Internet选项-内容-证书-个人，删除那个 SomeOne 证书

a) 现在，再次在IE浏览器中访问：https://localhost:8443/ 你会发现，回顾前面的 3 步骤，你会明白为什么要将客户端证书导入 IE 浏览器；

7. 请再次重复 3 步骤，之后再尝试访问

OK，至此，我们在本机上SSL双向配置已经成功，那么，换另一台电脑来访问本机服务器如何处理呢？很简单，把 d:/mykeys/client.p12 复制到该机器，然后执行 3 步骤，将这个证书导入到该机器的 IE浏览器个人证书中，记得密码是：lyl147；当然，在那台电脑上访问时，要将localhost修改为本机主机名或IP地址

-------------------------------------------------------------------

要使你自己的WEB程序应用SSL安全访问，请遵循如下配置

在你应用的 web.xml 文件的中加入如下配置

CLIENT-CERT

Client Cert Users-only Area

SSL

CONFIDENTIAL

你会发现，即使使用 http://....:8080 来访问你的应用程序，它也会重定向为 https://....8443 访问，也就是说，你的应用已经强制使用SSL安全访问层

OK，现在，充分享受 SSL 安全访问服务吧

此外，你还可以在你的程序中验证客户证书，实现客户端证书登录，具体这里不谈了，下次给出完整程序

Eric_jiang 2013-11-28 17:23 发表评论

tomcat自动部署

Eric_jiang — Wed, 16 Jun 2010 06:43:00 GMT

对Tomcat部署web应用的方式总结，常见的有以下四种：

1，使用控制台部署

访问Http：//localhost:8080，并通过Tomcat Manager登录，进入部署界面即可。

2，利用Tomcat自动部署

将应用程序复制到Tomcat的 webapps路径下，Tomcat启动时将自动加载。

3，修改Server.xml文件部署

用UE或EditPlus打开Tomcat位于conf/server.xml的配置文件，找到以下内容：

Xml代码
      unpackWARs="true" autoDeploy="true"
      xmlValidation="false" xmlNamespaceAware="false">
    .....


.....
   在Host之间添加如下内容：

来源：(http://blog.sina.com.cn/s/blog_658fbfbb0100i3sa.html) - tomcat自动部署_eric_新浪博客
Xml代码

path：表示访问的路径；如上述例子中，访问该应用程序为：http://localhost:8080/Mywebapps

reloadable：表示可以在运行时在classes与lib文件夹下自动加载类包

docbase：表示应用程序的地址，注意斜杠的方向“\”

workdir：表示缓存文件的放置地址

4，增加自定义web部署文件(推荐使用，不需要重启Tomcat)

在Tomcat安装目录conf\Catalina\localhost下，里面有Tomcat自带的三个应用，随意复制其中的一个XML文件，然后修改 docbase指向你自己的应用程序，并把path改名，各参数参见上第三种方法。或者你也可以自己新建一个XML文件(注意此文件名将作为 Context中的path,不管文件里的path怎么设置也无效)，将以下内容复制过去，修改相应路径即可。

Xml代码
debug="0" privileged="true" reloadable="true" >

部署完毕后，通过http://localhost:8080/你的path名就可以访问。

Eric_jiang 2010-06-16 14:43 发表评论

Tomcat里 appBase和docBase的区别

Eric_jiang — Wed, 16 Jun 2010 06:41:00 GMT

我们先看appBase,这个目录表示：
1 这个目录下面的子目录将自动被部署为应用。
2 这个目录下面的.war文件将被自动解压缩并部署为应用

而docBase只是指向了你某个应用的目录，这个可以和appBase没有任何关系。

总结：
如果你想自己指定路径，那么应该在docBase里面
如果你想简单，那么直接把他们复制到appBase下面就行了

如果你把他们弄重复了，也就是2个指向了一个目录，看上去也能运行，但你的应用下面的每个子目录，其实是被部署为单独的应用的。
比如你的应用为

myApp, 放在了
d:\project\myApp
里面有2个子目录
d:\project\myApp\images
d:\project\myApp\js

你可以通过
1 设置 appBase 指向 d:\project 来让系统自动部署
2 你可以手工指定docBase到 d:\project\myApp
3 如果你指定了 appBase到 d:\project\myApp 那么
d:\project\myApp\images这个将不再是普通的子目录，而是一个单独的虚拟目录，或者叫应用了。因为其被自动部署
d:\project\myApp\js 也一样的后果

Eric_jiang 2010-06-16 14:41 发表评论