- Tomcat Manager概述
- 配置 Manager 應(yīng)用訪問
- Managet易用的HTML 界面
- Manager 支持的命令
- 常見參數(shù)
- 部署應(yīng)用
- 部署目錄或 WAR 文件
- 配置 .xml 文件進行部署
- 部署注意事項
- 部署響應(yīng)
- 已部署的應(yīng)用
- 重新加載現(xiàn)有應(yīng)用
- 列出 OS 及 JVM 屬性
- 列出可能的全局 JNDI 資源
- 會話統(tǒng)計
- 過期會話
- 開啟現(xiàn)有應(yīng)用
- 停止已有應(yīng)用
- 取消對現(xiàn)有應(yīng)用的部署
- 尋找內(nèi)存泄露
- 連接器 SSL/TLS 診斷
- 線程轉(zhuǎn)儲
- 虛擬機(VM)相關(guān)信息
- 保存配置信息
- 服務(wù)器狀態(tài)
- 使用 JMX 代理 Servlet
- 利用 Ant 執(zhí)行 Manager 的命令
- 任務(wù)輸出捕獲
- Realm 配置
- 標準 Realm 實現(xiàn)
- DataSourceRealm
- JNDIRealm
- UserDatabaseRealm
- MemoryRealm
- JAASRealm
- CombinedRealm
- LockOutRealm
- JDBC 數(shù)據(jù)源
- 數(shù)據(jù)庫連接池(DBCP 2)配置
- MySQL DBCP 范例
- Oracle 8i、9i 與 10g
- PostgreSQL配置
- Oracle 8i 與 OCI 客戶端
- Tomcat監(jiān)控與管理
- JMXAccessorOpenTask - JMX 打開連接任務(wù)
- JMXAccessorGetTask: 獲取屬性值的 Ant 任務(wù)
- JMXAccessorSetTask:設(shè)定屬性值的 Ant 任務(wù)
- JMXAccessorInvokeTask: 調(diào)用 MBean 操作的 Ant 任務(wù)
- JMXAccessorQueryTask: 查詢 MBean 的 Ant 任務(wù)
- JMXAccessorCreateTask: 遠程創(chuàng)建 MBean 的 Ant 任務(wù)
- JMXAccessorUnregisterTask: 遠程注銷 MBean Ant 任務(wù)
- JMXAccessorCondition: 表達條件
- JMXAccessorEqualsCondition: MBean Ant 條件對等
- 使用 JMXProxyServlet
JAASRealm
JAASRealm 是 Tomcat 的 Realm 接口的一種實現(xiàn),通過 Java Authentication & Authorization Service(JAAS,Java身份驗證與授權(quán)服務(wù))架構(gòu)來實現(xiàn)對用戶身份的驗證。JAAS 架構(gòu)現(xiàn)已加入到標準的 Java SE API 中。
通過 JAASRealm,開發(fā)者實際上可以將任何安全的 Realm 與 Tomcat 的 CMA 一起組合使用。
JAASRealm 是 Tomcat 針對基于 JAAS 的 J2EE 1.4 的 J2EE 認證框架的原型實現(xiàn),基于 JCP Specification Request 196,從而能夠增強容器管理安全性,并且能促進“可插拔的”認證機制,該認證機制能夠?qū)崿F(xiàn)與容器的無關(guān)性。
根據(jù) JAAS 登錄模塊和準則(參見 javax.security.auth.spi.LoginModule 與 javax.security.Principal 的相關(guān)說明),你可以自定義安全機制,或者將第三方的安全機制與 Tomcat 所實現(xiàn)的 CMA 相集成。
快速入門
為了利用自定義的 JAAS 登錄模塊使用 JAASRealm,需要執(zhí)行如下步驟:
- 編寫自己的 JAAS 登錄模塊。在開發(fā)自定義登錄模塊時,將通過 JAAS 登錄上下文對基于 JAAS 2的 User 和 Role 類管理。注意,JAASRealm 內(nèi)建的 CallbackHandler 目前只能識別 NameCallback 和 PasswordCallback。
- 詳情請參看 JAAS 認證教程 與 JAAS 登錄模塊開發(fā)教程。
- 盡管 JAAS 并未明確指定,但你也應(yīng)該為用戶和角色創(chuàng)建不同的類來加以區(qū)分,它們都應(yīng)該擴展自 javax.security.Principal,從而使 Tomcat 明白從登錄模塊中返回的規(guī)則究竟是用戶還是角色(參看 org.apache.catalina.realm.JAASRealm 相關(guān)描述)。不管怎樣,第一個返回的規(guī)則總被認為是用戶規(guī)則。
- 將編譯好的類指定在 Tomcat 的類路徑中。
為 Java 建立一個 login.config 文件(參見 JAAS LoginConfig 文件)。將其位置指定給 JVM,從而便于 Tomcat 明確它的位置。例如,設(shè)置如下環(huán)境變量:
???
JAVA_OPTS=$JAVA_OPTS -Djava.security.auth.login.config==$CATALINA_BASE/conf/jaas.config
- 為了保護一些資源,在 web.xml 中配置安全限制。
- 在 server.xml 中配置 JAASRealm 模塊。
- 重啟 Tomcat(如果它正在運行)。
Realm 元素屬性
在上述步驟中,為了配置步驟 6 以上的 JAASRealm,需要創(chuàng)建一個 元素,并將其內(nèi)嵌在 元素中的 $CATALINA_BASE/conf/server.xml 文件內(nèi)。關(guān)于 JAASRealm 中的屬性定義可參看 Realm 配置文檔。
范例
下例是 server.xml 中的一截代碼段:
<Realm className="org.apache.catalina.realm.JAASRealm"
appName="MyFooRealm"
userClassNames="org.foobar.realm.FooUser"
roleClassNames="org.foobar.realm.FooRole"/>
完全由登錄模塊負責創(chuàng)建并保存用于表示用戶規(guī)則的 User 與 Role 對象(javax.security.auth.Subject)。如果登錄模塊不僅無法創(chuàng)建用戶對象,而且也無法拋出登錄異常,Tomcat CMA 就會失去作用,所在頁面就會變成 http://localhost:8080/myapp/j_security_check 或其他未指明的頁面。
JAAS 方法具有雙重的靈活性:
- 你可以在自定義的登錄模塊后臺執(zhí)行任何所需的進程。
- 通過改變配置以及重啟服務(wù)器,你可以插入一個完全不同的登錄模塊,不需要對應(yīng)用做出任何改動。
特別注意事項???????
- 當用戶首次訪問一個受保護資源時,Tomcat 會調(diào)用這一 Realm 的 authenticate() 方法。
- 一旦用戶認證成功,在登錄后,該用戶(及其相應(yīng)角色)就將緩存在 Tomcat 中。(對于以表單形式的認證,這意味著直到會話超時或者無效才會過期;對于基本形式的驗證,意味著直到用戶關(guān)閉瀏覽器才會過期。)在會話序列化期間不會保存或重置緩存的用戶。對已認證用戶的數(shù)據(jù)庫信息進行的任何改動都不會生效,直到該用戶下次登錄。
- 和其他 Realm 實現(xiàn)一樣,如果 server.xml 中的 元素包含一個 digest 屬性,則支持摘要式密碼。JAASRealm 的 CallbackHandler 將先于將密碼傳回 LoginModule 之前,對密碼進行摘要式處理。
