配置Tomcat的应用程序访问管理.docx

配置TomCat的应用程序访问管理1.简要介绍.在我们安装完Tomcat后,如果不进行适当的配置，而仅仅采用默认的配置来管理应用程序的访问控制是非常危险的。默认配置时，所有人都可以通过Internet在你的Tomcat服务器上执行任何的管理程序，包括卸载应用程序，删除等，因此我们一定要自己进行角色和帐号的配置，来提高安全性，尤其是在正式部署的服务器上。2 .访问控制为了使TomCat的应用程序访问控制管理生效，我们必须配置用户名和密码，并且与角色管理结合起来。首先，我们应该分配一个管理者的权限，要注意使用BASIC方式授权是有风险的。在BASIC授权模式下，无论是输入什么样的用户名和密码，只要它在数据库中被识别是有效的，就可以进行任何的管理者才能执行的功能。除了密码约束之外，执行管理功能的页面也可以通过添加RemoteAddrVaIue或者是RemoteHostValue来进行IP或者是访问者的主机约束，下面的代码片段展示的是只有服务器本机才能访问管理者页面：<Contextpath=,7manager,'privileged="true"docBase='7usrlocalkinetictomcat6serverwebappsmanager"><ValveclassName="org.apache.catalina.Valves.RemoteAddrVaIve"allow=H127.0.0.l"/><Context>3 .配置角色和用户名及密码在Tomcat_Home%conf目录下面有两个配置文件是非常重要的，一个是Servenxml这是用来配置整个TOmCat服务器的，这里不作介绍了，另外一个就是tomcat-users.xml,tomcat-users.xml就是我们用来配置角色和账户密码的配置文件，下面是一个示例：viewplaincopytoClipboardprint?<?xmlversion-1.0'encoding=,utf-8,7><tomcat-users><rolerolename="manager'7><rolerolename=,tomcat'7><rolerolename=,admin'7><userusername="both"password=,tomcat"roles="tomcat,role7><userUSemame="tomcat”password="tomcatroles="tomcat'7><userusername="admin"password=*"*roles=,'admin,manager'7><userusername="role'PaSSWOrd="tomcat"roles=role17><tomcat-users><?xmlversion-1.0'encoding=,utf-8'7><tomcat-users><rolerolename=,manager'7><rolerolename=',tomcat'7><rolerolename="admin'7><userusername=,both"password=',tomcat"roles="tomcat,role1'7><userusername=,'tomcat"password=,tomcatHroles="tomcat,7><userusername=,'admin"password=*"roles=',admin,manager,7><userusername=',rolel"PaSSWOrd="tomcat"roles="role7><tomcat-users>在上面的例子中<tomcat-users>是根元素，<role>元素是用来配置角色的，只有一个属性rolename表示角色的名字<user>元素表示账户,有3个属性,username是指账户名，password是密码，而roles就是所属的角色，这里可以给一个账户同时指定多个角色，不同的角色用”,“分开。