BlogJava-无涯-文章分类-tomcat

Tomcat6安全管理中的几个标签

koradji — Tue, 14 Dec 2010 06:48:00 GMT

在web应用程序的配置文件web.xml里定义了以下几个标签，用于对受限资源访问的管理。

- 用来指定受保护的web资源以及对其可以访问的角色。

子元素	描述
	声明受保护的web资源
	指定受保护资源的名字，是的子元素
	受保护的URL路径，是的子元素
	指定受保护的HTTP访问方法（包括DELETE,GET,POST和PUT），如果不定义，表示所有的方法都受保护，是的子元素
	指定受保护资源安全限制
	指定可以访问受保护资源的角色名，为的子元素

- 用来指定客户在访问受保护的web资源时，系统对客户进行验证的类型。

子元素	描述
	系统对客户验证的类型，有BASIC,DIGEST,FORM3种
	设定使用的Realm名称
	使用FORM验证时的配置信息
	使用FORM验证时的登录页面，是的子元素
	使用FORM验证时的错误处理页面，是的子元素

- 用来声明web应用的角色名称。

子元素	描述
	对当前的元素进行描述
	引用的角色名称

koradji 2010-12-14 14:48 发表评论

Tomcat6实现SSI

koradji — Mon, 13 Dec 2010 13:52:00 GMT

SSI-Server Side Include，中文叫服务器端嵌入。
在默认状态下，tomcat不支持SSI。要让它支持，需做如下配置：
打开tomcat安装目录下的conf/web.xml，
1.找到SSI servlet部分，将注释去掉；
2.找到SSI servlet-mapping部分，将注释去掉；
一种替换方法是，可以将SSI的filter部分的注释去掉，但是不能两者都去掉注释；

启动tomcat，这时可能会报如下错：

java.lang.SecurityException: Servlet of class org.apache.catalina.ssi.SSIServlet is privileged and 

cannot be loaded by this web application

解决方法是：
打开tomcat安装目录下的conf/context.xml，将改为。

然后，再启动tomcat，就正常了。
至于中文乱码的问题，我这里测试下来，好像在web.xml里的servlet下不用增加inputEncoding和outputEncoding参数也没问题。

koradji 2010-12-13 21:52 发表评论

【转帖】用Tomcat实现SSO

koradji — Thu, 02 Dec 2010 05:06:00 GMT

文章来源：http://tech.ddvip.com/2009-05/1242796946120038.html

目标:用户Login一次之后,可以访问同一Server上的不同Webapp, 具体实现上采用Tomcat的Single Sign-On实现. 主要分为下面几个步骤:

修改Tomcat conf/server.xml，打开SSO支持

节点下增加一个Valve节点
               debug="0" requireReauthentication="false"/>

container认证realm： user、role、server.xml的设置

tomcat的认证机制有2个要素： user 和 role.
user 是区别一个个用户的唯一识别了。
role 就是一些抽象的权限级别，比如“admin”、“manager”、“member”、“guest”等等，都是可以自己定义的.一个user可以拥有多种role.

“可是tomcat怎么去拿到我的user/role信息呢？我的这些数据都在数据库里阿？”
可以在tomcat的server.xml里用 tag来读取这些信息，并且tomcat提供了3、4种现成的Realm实现，其中有从文件里读的，有从JDBC读的，有从DataSource读的，也有从LDAP读的。具体Realm的写法，和提供的几种Realm的配置方法，可以参考tomcat自己的文档，在此不作细述。 (把tomcat自带的webapp: tomcat-docs.war 展开，看里面的 config/realm.html) 如果连这些现成的配置都不能满足你的要求的话，那也可以考虑自己写一个Realm的实现类来满足具体要求。
下面举一个JDBC的Realm的配置例子看一下：

           driverName="your.jdbc.driver.here"
           connectionURL="your.jdbc.url.here"
           connectionName="test"
           connectionPassword="test"
           userTable="users"
           userNameCol="user_name"
           userCredCol="user_pass"
           userRoleTable="user_roles"
           roleNameCol="role_name" />

webapp使用SSO

告诉tomcat这个webapp要通过container的认证。
具体做法：在web.xml里面加上如下的配置：

http://www.bt285.cn　 BT下载

intrauser

选择一种认证方法
在web.xml里面加上如下的配置：

BASIC

Intra Web Application

The role that is required to access intrasites

intrauser

这里有2个要点：
auth-method

举例为了简单用了最基本的一种BASIC。若使用BASIC方式，当你去访问受保护认证的资源时，浏览器会弹出一个小窗口让你输入用户名和密码。（就像我们访问ioffice时，第一次弹出来的那个认证窗口）其他还有几种认证方式如：FORM、DIGEST、CLIENT-CERT。其中FORM是可以自己写login画面的，当然html的form内容有些规定（要符合j2ee和container的要求嘛）。 DIGEST是一种加密的传输，而CLIENT-CERT没有查过，有兴趣可以去查一下。

realm-name

这个realm-name是这个webapp的认证realm名，注意几个处于同一SSO下的webapp，他们的realm-name要设成一样的值。如果不设成一样，那么换一个webapp就要重新认证一次，达不到SSO的效果。

如何取得当前的User信息

原本都习惯在login以后，把一些login用户信息放到session里面的. 现在认证都交给container去做了，我们的webapp怎么拿到login用户信息啊？确实，现在我们的webapp能做的，只有从request里面拿到login用户的userid了。

String userid = request.gerRemoteUser();

以上是在一个Tomcat Container上的SSO实现.

如果是不同的Container上的webapp要做SSO，这种时候一种可行的方案是，最前面架一个webserver（比如apache），在webserver这层承担SSO的认证任务，后面内部就可用挂多个container了. 具体都用到的时候再调查吧。

koradji 2010-12-02 13:06 发表评论

Tomcat6下配置MySQL DBCP

koradji — Thu, 02 Dec 2010 04:16:00 GMT

以下根据Tomcat User Guide - 9）JDBC DataSources中MySQL DBCP Example的介绍在本机试验并通过。
目标环境：

Windows XP ProfessionalTomcat 6.0.29
MySQL 5.1.50
MySQL Connector/J 5.1.13

步骤：
1.下载JDBC驱动：http://dev.mysql.com/downloads/connector/j/；
2.解压缩后，将mysql-connector-java-5.1.13-bin.jar拷贝到Tomcat_Home/lib下；
3.登录MySql，执行下列语句：
      mysql> GRANT ALL PRIVILEGES ON *.* TO javauser@localhost
          -> IDENTIFIED BY 'javadude' WITH GRANT OPTION;
      mysql> create database javatest;
      mysql> use javatest;
      mysql> create table testdata (
          -> id int not null auto_increment primary key,
          -> foo varchar(25),
          -> bar int);

      注意：执行完测试后要删除上述user-javauser，为了安全吧。
4.往testdata表里插入一些测试数据；
      mysql> insert into testdata values(null, 'hello', 12345);
5.Context配置：
在server.xml里的Host元素下，添加如下Context子元素
        DBTest" debug="5" reloadable="true" crossContext="true">
                              maxActive="100" maxIdle="30" maxWait="10000"
                   username="javauser" password="javadude" driverClassName="com.mysql.jdbc.Driver"
                   url="jdbc:mysql://localhost:3306/javatest"/>

6.现在在webapps下创建子目录DBTest，再在DBTest下创建子目录WEB-INF，在这下面创建文件web.xml，如下

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
    version="2.4">
MySQL Test App

DB Connection

jdbc/TestDB

javax.sql.DataSource

Container

7.创建简单的test.jsp做测试用，放在DBTest目录下；
<%@ taglib uri="http://java.sun.com/jsp/jstl/sql" prefix="sql" %>
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>

select id, foo, bar from testdata

DB Test

Results

Foo ${row.foo}

Bar ${row.bar}

8.因为jsp里用到了JSTL的sql和core这两个taglibs，所以还要去下载对应的两个jar文件，
下载地址：http://jakarta.apache.org/site/downloads/downloads_taglibs-standard.cgi
9.下载完毕解压缩后，将jstl.jar和standard.jar拷贝到Tomcat_Home/lib下；
10.最后，应用程序部署到Tomcat上后，启动Tomcat，在浏览器里输入：

http://localhost:8080/DBTest/test.jsp

执行，结果如下：

Results

Foo hello
Bar 12345

这样便完成了在Tomcat下连接MySQL DBCP的过程。

koradji 2010-12-02 12:16 发表评论

Tomcat配置基础验证

koradji — Wed, 01 Dec 2010 06:35:00 GMT

Tomcat中，容器管理验证方法控制着当用户访问受保护的web应用时如何进行用户的身份鉴别。
可以使用Basic Authentication验证来访问受保护的web应用，具体实施方法为，
在web应用的web.xml文件中，添加如下元素项：

然后在conf/tomcat-users.xml里，添加适当的和，最后重新启动Tomcat即可。

例子：

HTMLManager and Manager command

/jmxproxy/*

/html/*

/list

/expire

/sessions

/start

/stop

/install

/remove

/deploy

/undeploy

/reload

/save

/serverinfo

/status/*

/roles

/resources

/findleaks

manager

BASIC

Tomcat Manager Application

koradji 2010-12-01 14:35 发表评论