把该片断命名为“mywebapp.xml”,然后拷贝到catalina_base/webapps目录下。
这种context片断提供了一种便利的方法来部署web应用,你不需要编辑server.xml,除非你想改变缺省的部署特性,安装一个新的web应用时不需要重启动tomcat。
4.配置虚拟主机(virtual hosts)
关于server.xml中“host”这个元素,只有在你设置虚拟主机的才需要修改。虚拟主机是一种在一个web服务器上服务多个域名的机制,对每个域名而言,都好象独享了整个主机。实际上,大多数的小型商务网站都是采用虚拟主机实现的,这主要是因为虚拟主机能直接连接到internet并提供相应的带宽,以保障合理的访问响应速度,另外虚拟主机还能提供一个稳定的固定ip。
基于名字的虚拟主机可以被建立在任何web服务器上,建立的方法就是通过在域名服务器(dns)上建立ip地址的别名,并且告诉web服务器把去往不同域名的请求分发到相应的网页目录。因为这篇文章主要是讲tomcat,我们不准备介绍在各种操作系统上设置dns的方法,如果你在这方面需要帮助,请参考《dns and bind》一书,作者是paul albitz and cricket liu (o'reilly)。为了示范方便,我将使用一个静态的主机文件,因为这是测试别名最简单的方法。
在tomcat中使用虚拟主机,你需要设置dns或主机数据。为了测试,为本地ip设置一个ip别名就足够了,接下来,你需要在server.xml中添加几行内容,如下:
| <server port="8005" shutdown="shutdown" debug="0"> <service name="tomcat-standalone"> <connector classname="org.apache.coyote.tomcat4.coyoteconnector" port="8080" minprocessors="5" maxprocessors="75" enablelookups="true" redirectport="8443"/> <connector classname="org.apache.coyote.tomcat4.coyoteconnector" port="8443" minprocessors="5" maxprocessors="75" acceptcount="10" debug="0" scheme="https" secure="true"/> <factory classname="org.apache.coyote.tomcat4.coyoteserversocketfactory" clientauth="false" protocol="tls" /> </connector> <engine name="standalone" defaulthost="localhost" debug="0"> <!-- this host is the default host --> <host name="localhost" debug="0" appbase="webapps" unpackwars="true" autodeploy="true"> <context path="" docbase="root" debug="0"/> <context path="/orders" docbase="/home/ian/orders" debug="0" reloadable="true" crosscontext="true"> </context> </host> <!-- this host is the first "virtual host": http://www.example.com/ --> <host name="www.example.com" appbase="/home/example/webapp"> <context path="" docbase="."/> </host> </engine> </service> </server> |
tomcat的server.xml文件,在初始状态下,只包括一个虚拟主机,但是它容易被扩充到支持多个虚拟主机。在前面的例子中展示的是一个简单的server.xml版本,其中粗体部分就是用于添加一个虚拟主机。每一个host元素必须包括一个或多个context元素,所包含的context元素中必须有一个是默认的context,这个默认的context的显示路径应该为空(例如,path=””)。
5.配置基础验证(basic authentication)
容器管理验证方法控制着当用户访问受保护的web应用资源时,如何进行用户的身份鉴别。当一个web应用使用了basic authentication(basic参数在web.xml文件中auto-method元素中设置),而有用户访问受保护的web应用时,tomcat将通过http basic authentication方式,弹出一个对话框,要求用户输入用户名和密码。在这种验证方法中,所有密码将被以64位的编码方式在网络上传输。
注意:使用basic authentication通过被认为是不安全的,因为它没有强健的加密方法,除非在客户端和服务器端都使用https或者其他密码加密码方式(比如,在一个虚拟私人网络中)。若没有额外的加密方法,网络管理员将能够截获(或滥用)用户的密码。但是,如果你是刚开始使用tomcat,或者你想在你的web应用中测试一下基于容器的安全管理,basic authentication还是非常易于设置和使用的。只需要添加<security-constraint>和<login-config>两个元素到你的web应用的web.xml文件中,并且在catalina_base/conf/tomcat-users.xml 文件中添加适当的<role>和<user>即可,然后重新启动tomcat。
下面例子中的web.xml摘自一个俱乐部会员网站系统,该系统中只有member目录被保护起来,并使用basic authentication进行身份验证。请注意,这种方式将有效的代替apache web服务器中的.htaccess文件。
| <!-- define the members-only area, by defining a "security constraint" on this application, and mapping it to the subdirectory (url) that we want to restrict. --> <security-constraint> <web-resource-collection> <web-resource-name> entire application </web-resource-name> <url-pattern>/members/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>member</role-name> </auth-constraint> </security-constraint> <!-- define the login configuration for this application --> <login-config> <auth-method>basic</auth-method> <realm-name>my club members-only area</realm-name> </login-config> |
6.配置单点登录(single sign-on)
一旦你设置了realm和验证的方法,你就需要进行实际的用户登录处理。一般说来,对用户而言登录系统是一件很麻烦的事情,你必须尽量减少用户登录验证的次数。作为缺省的情况,当用户第一次请求受保护的资源时,每一个web应用都会要求用户登录。如果你运行了多个web应用,并且每个应用都需要进行单独的用户验证,那这看起来就有点像你在与你的用户搏斗。用户们不知道怎样才能把多个分离的应用整合成一个单独的系统,所有他们也就不知道他们需要访问多少个不同的应用,只是很迷惑,为什么总要不停的登录。
tomcat 4的“single sign-on”特性允许用户在访问同一虚拟主机下所有web应用时,只需登录一次。为了使用这个功能,你只需要在host上添加一个singlesignon valve元素即可,如下所示:
| <valve classname="org.apache.catalina.authenticator.singlesignon" debug="0"/> |
