- Tomcat Manager概述
- 配置 Manager 應用訪問
- Managet易用的HTML 界面
- Manager 支持的命令
- 常見參數
- 部署應用
- 部署目錄或 WAR 文件
- 配置 .xml 文件進行部署
- 部署注意事項
- 部署響應
- 已部署的應用
- 重新加載現有應用
- 列出 OS 及 JVM 屬性
- 列出可能的全局 JNDI 資源
- 會話統計
- 過期會話
- 開啟現有應用
- 停止已有應用
- 取消對現有應用的部署
- 尋找內存泄露
- 連接器 SSL/TLS 診斷
- 線程轉儲
- 虛擬機(VM)相關信息
- 保存配置信息
- 服務器狀態
- 使用 JMX 代理 Servlet
- 利用 Ant 執行 Manager 的命令
- 任務輸出捕獲
- Realm 配置
- 標準 Realm 實現
- DataSourceRealm
- JNDIRealm
- UserDatabaseRealm
- MemoryRealm
- JAASRealm
- CombinedRealm
- LockOutRealm
- Tomcat監控與管理
- JMXAccessorOpenTask - JMX 打開連接任務
- JMXAccessorGetTask: 獲取屬性值的 Ant 任務
- JMXAccessorSetTask:設定屬性值的 Ant 任務
- JMXAccessorInvokeTask: 調用 MBean 操作的 Ant 任務
- JMXAccessorQueryTask: 查詢 MBean 的 Ant 任務
- JMXAccessorCreateTask: 遠程創建 MBean 的 Ant 任務
- JMXAccessorUnregisterTask: 遠程注銷 MBean Ant 任務
- JMXAccessorCondition: 表達條件
- JMXAccessorEqualsCondition: MBean Ant 條件對等
- 使用 JMXProxyServlet
JAASRealm
JAASRealm 是 Tomcat 的 Realm 接口的一種實現,通過 Java Authentication & Authorization Service(JAAS,Java身份驗證與授權服務)架構來實現對用戶身份的驗證。JAAS 架構現已加入到標準的 Java SE API 中。
通過 JAASRealm,開發者實際上可以將任何安全的 Realm 與 Tomcat 的 CMA 一起組合使用。
JAASRealm 是 Tomcat 針對基于 JAAS 的 J2EE 1.4 的 J2EE 認證框架的原型實現,基于 JCP Specification Request 196,從而能夠增強容器管理安全性,并且能促進“可插拔的”認證機制,該認證機制能夠實現與容器的無關性。
根據 JAAS 登錄模塊和準則(參見 javax.security.auth.spi.LoginModule 與 javax.security.Principal 的相關說明),你可以自定義安全機制,或者將第三方的安全機制與 Tomcat 所實現的 CMA 相集成。
快速入門
為了利用自定義的 JAAS 登錄模塊使用 JAASRealm,需要執行如下步驟:
- 編寫自己的 JAAS 登錄模塊。在開發自定義登錄模塊時,將通過 JAAS 登錄上下文對基于 JAAS 2的 User 和 Role 類管理。注意,JAASRealm 內建的 CallbackHandler 目前只能識別 NameCallback 和 PasswordCallback。
- 詳情請參看 JAAS 認證教程 與 JAAS 登錄模塊開發教程。
- 盡管 JAAS 并未明確指定,但你也應該為用戶和角色創建不同的類來加以區分,它們都應該擴展自 javax.security.Principal,從而使 Tomcat 明白從登錄模塊中返回的規則究竟是用戶還是角色(參看 org.apache.catalina.realm.JAASRealm 相關描述)。不管怎樣,第一個返回的規則總被認為是用戶規則。
- 將編譯好的類指定在 Tomcat 的類路徑中。
為 Java 建立一個 login.config 文件(參見 JAAS LoginConfig 文件)。將其位置指定給 JVM,從而便于 Tomcat 明確它的位置。例如,設置如下環境變量:
???
JAVA_OPTS=$JAVA_OPTS -Djava.security.auth.login.config==$CATALINA_BASE/conf/jaas.config
- 為了保護一些資源,在 web.xml 中配置安全限制。
- 在 server.xml 中配置 JAASRealm 模塊。
- 重啟 Tomcat(如果它正在運行)。
Realm 元素屬性
在上述步驟中,為了配置步驟 6 以上的 JAASRealm,需要創建一個 元素,并將其內嵌在 元素中的 $CATALINA_BASE/conf/server.xml 文件內。關于 JAASRealm 中的屬性定義可參看 Realm 配置文檔。
范例
下例是 server.xml 中的一截代碼段:
<Realm className="org.apache.catalina.realm.JAASRealm"
appName="MyFooRealm"
userClassNames="org.foobar.realm.FooUser"
roleClassNames="org.foobar.realm.FooRole"/>
完全由登錄模塊負責創建并保存用于表示用戶規則的 User 與 Role 對象(javax.security.auth.Subject)。如果登錄模塊不僅無法創建用戶對象,而且也無法拋出登錄異常,Tomcat CMA 就會失去作用,所在頁面就會變成 http://localhost:8080/myapp/j_security_check 或其他未指明的頁面。
JAAS 方法具有雙重的靈活性:
- 你可以在自定義的登錄模塊后臺執行任何所需的進程。
- 通過改變配置以及重啟服務器,你可以插入一個完全不同的登錄模塊,不需要對應用做出任何改動。
特別注意事項???????
- 當用戶首次訪問一個受保護資源時,Tomcat 會調用這一 Realm 的 authenticate() 方法。
- 一旦用戶認證成功,在登錄后,該用戶(及其相應角色)就將緩存在 Tomcat 中。(對于以表單形式的認證,這意味著直到會話超時或者無效才會過期;對于基本形式的驗證,意味著直到用戶關閉瀏覽器才會過期。)在會話序列化期間不會保存或重置緩存的用戶。對已認證用戶的數據庫信息進行的任何改動都不會生效,直到該用戶下次登錄。
- 和其他 Realm 實現一樣,如果 server.xml 中的 元素包含一個 digest 屬性,則支持摘要式密碼。JAASRealm 的 CallbackHandler 將先于將密碼傳回 LoginModule 之前,對密碼進行摘要式處理。
