Tomcat 伺服器是一個免費的開放原始碼的Web 應用伺服器，屬於輕量級應用伺服器，在中小型系統和併發訪問使用者不是很多的場合下被普遍使用，是開發和除錯JSP 程式的首選。對於一個初學者來說，可以這樣認為，當在一臺機器上配置好Apache 伺服器，可利用它響應對HTML 頁面的訪問請求。實際上Tomcat 部分是Apache 伺服器的擴充套件，但它是獨立執行的，所以當你執行tomcat 時，它實際上作為一個與Apache 獨立的程式單獨執行的。

訣竅是，當配置正確時，Apache 為HTML頁面服務，而Tomcat 實際上執行JSP 頁面和Servlet。另外，Tomcat和IIS、Apache等Web伺服器一樣，具有處理HTML頁面的功能，另外它還是一個Servlet和JSP容器，獨立的Servlet容器是Tomcat的預設模式。不過，Tomcat處理靜態HTML的能力不如Apache伺服器。目前Tomcat最新版本為7.0.39。

Tomcat 很受廣大程式設計師的喜歡，因為它執行時佔用的系統資源小，擴充套件性好，支援負載平衡與郵件服務等開發應用系統常用的功能；而且它還在不斷的改進和完善中，任何一個感興趣的程式設計師都可以更改它或在其中加入新的功能。

名稱由來

Tomcat最初是由Sun的軟體構架師詹姆斯·鄧肯·戴維森開發的。後來他幫助將其變為開源專案，並由Sun貢獻給Apache軟體基金會。由於大部分開源專案O'Reilly都會出一本相關的書，並且將其封面設計成某個動物的素描，因此他希望將此專案以一個動物的名字命名。因為他希望這種動物能夠自己照顧自己，最終，他將其命名為Tomcat（英語公貓或其他雄性貓科動物）。而O'Reilly出版的介紹Tomcat的書籍（ISBN 0-596-00318-8）[1]的封面也被設計成了一個公貓的形象。而Tomcat的Logo兼吉祥物也被設計成了一隻公貓。

目前Tomcat最新版本為7.0.39。

是目前的開發焦點。它在汲取了Tomcat 6.0.x優點的基礎上，實現了對於Servlet 3.0、JSP 2.2和EL 2.2等特性的支援。除此以外的改進列表如下：

· Web應用記憶體溢位偵測和預防

· 增強了管理程式和伺服器管理程式的安全性

· 一般 CSRF保護

· 支援web應用中的外部內容的直接引用

· 重構 (connectors, lifecycle)及很多核心程式碼的全面梳理

在汲取 Tomcat 5.5.x優點的基礎上，實現了Servlet 2.5和JSP 2.1等特性的支援。除此以外的改進列表如下：

· 記憶體使用優化

· 更大的IO容量

· 重構聚類

Apache Tomcat 5.5.x 和Apache Tomcat 5.0.x 對於Servlet和JSP的支援是一樣的。大量底層程式碼裡的重大修改，帶來效能的提升、穩定性的提升及整體成本。詳請參照Apache Tomcat 5.5的更新日誌。

Apache Tomcat 5.0.x在Apache Tomcat 4.1的基礎上做了很多改動，包括：

· 效能優化和減少垃圾回收動作

· 重構程式部署，通過一個可選的獨立部署程式，允許在將一個web應用放進產品前驗證和編譯它

· 基於JMX的伺服器全面監視及web程式管理

· 提高Taglibs的支撐能力，包括改進的資料池和tag外掛

· 改進平臺整合性，包括Windows和Unix

· 基於JMX的嵌入

· 增強的安全管理支撐

· 整合session叢集

· 文件擴充

tomcat/bin/catalina.bat 如果是linux 就是 catalina. sh

在rem 的後面增加如下引數

set JAVA_OPTS= -Xms256m -Xmx256m -XX:MaxPermSize=64m

開啟tomcat/bin/catalina.bat

在最後一個rem後面增加

set JAVA_HOME=C:\Program Files\Java\jdk1.6.0

/tomcat/conf/server.xml

第一行是以前預設存在的，第二行是新增的

<Context path="" docBase="ROOT" debug="0" reloadable="true"></Context>

<Context path="/jsp/a" reloadable="true" docBase="E:\workplace\www.java2000. net\WebContent" />

使用預設配置的tomcat,另外虛擬目錄也可這設定:

<Context path="/test" docBase="webContent" reloadable="true"/>

因為預設情況下,tomcat啟動過程中配置虛擬目錄的時候會從 webapps目錄下查詢webContent應用。

這樣配置好了，即使以後從一臺伺服器移植到另一臺伺服器，不做任何修改也能執行起來。

開啟 tomcat/conf/server.xml

查詢下面這部分，在最後增加一段程式碼就可以了。

<Connector port="80" maxHttpHeaderSize="8192"

.................

URIEncoding="UTF-8" useBodyEncodingForURI="true"

...............

/>

其中的UTF-8 請根據你的需要自己修改，比如GBK

tomcat/conf/server.xml

<!-- 預設的主機 -->

<Host name="localhost" appBase="webapps"

unpackWARs="true" autoDeploy="true"

xmlValidation="false" xmlNamespaceAware="false">

<Context path="" docBase="ROOT" debug="0" reloadable="true"></Context>

...

</host>

<!-- 以下是新增的虛擬主機 -->

<Host name="www.java2000. net" appBase="webapps"

unpackWARs="true" autoDeploy="true"

xmlValidation="false" xmlNamespaceAware="false">

<Context path="" docBase="d:/www.java2000. net" debug="0" reloadable="true"></Context>

<!-- 虛擬目錄 -->

<Context path="/count" docBase="d:/counter.java2000. net" debug="0" reloadable="true"></Context>

</Host>

<Host name="java2000. net" appBase="webapps"

unpackWARs="true" autoDeploy="true"

xmlValidation="false" xmlNamespaceAware="false">

<Context path="" docBase="d:/www.java2000. net" debug="0" reloadable="true"></Context>

<Context path="/count" docBase="d:/counter.java2000. net" debug="0" reloadable="true"></Context>

</Host>

比較複雜，各個版本都有所不同，請直接檢視 http://java2000. net/p1906，包括tomcat5.0,tomcat5.5x,tomcat6.0的各個版本的配置方法。

更多關於Tomcat的使用，請看參考資料

（Admin Web Application）

大多數商業化的JavaEE伺服器都提供一個功能強大的管理介面，且大都採用易於理解的Web應用介面。Tomcat按照自己的方式，同樣提供一個成熟的管理工具，並且絲毫不遜於那些商業化的競爭對手。Tomcat的Admin Web Application最初在4.1版本時出現，當時的功能包括管理context、data source、user和group等。當然也可以管理像初始化引數，user、group、role的多種資料庫管理等。在後續的版本中，這些功能將得 到很大的擴充套件，但現有的功能已經非常實用了。

Admin Web Application被定義在自動部署檔案：CATALINA_BASE/webapps/admin.xml 。

必須編輯這個檔案，以確定Context中的docBase引數是絕對路徑。也就是說， CATALINA_BASE/webapps/admin.xml 的路徑是絕對路徑。作為另外一種選擇，也可以刪除這個自動部署檔案，而在server.xml檔案中建立一個Admin Web Application的context，效果是一樣的。不能管理Admin Web Application這個應用，換而言之，除了刪除CATALINA_BASE/webapps/admin.xml ，可能什麼都做不了。

如果使用UserDatabaseRealm（預設），將需要新增一個user以及一個role到CATALINA_BASE/conf/tomcat-users.xml 檔案中。你編輯這個檔案，新增一個名叫“admin”的role 到該檔案中，如下：

<role name=“admin”/>

同樣需要有一個使用者，並且這個使用者的角色是“admin”。象存在的使用者那樣，新增一個使用者（改變密碼使其更加安全）：

<user name=“admin” password=“deep_dark_secret” roles=“admin”/>

當完成這些步驟後，請重新啟動Tomcat，訪問http://localhost:8080/admin，將看到一個登入介面。Admin Web Application採用基於容器管理的安全機制，並採用了Jakarta Struts框架。一旦作為“admin”角色的使用者登入管理介面，將能夠使用這個管理介面配置Tomcat。

Manager Web Application讓你通過一個比Admin Web Application更為簡單的使用者介面，執行一些簡單的Web應用任務。

Manager Web Application被被定義在一個自動部署檔案中：

CATALINA_BASE/webapps/manager.xml 。

必須編輯這個檔案，以確保context的docBase引數是絕對路徑，也就是說CATALINA_HOME/server/webapps/manager的絕對路徑。

如果使用的是UserDatabaseRealm，那麼需要新增一個角色和一個使用者到CATALINA_BASE/conf/tomcat-users.xml檔案中。接下來，編輯這個檔案，新增一個名為“manager”的角色到該檔案中：

<role name=“manager”>

同樣需要有一個角色為“manager”的使用者。像已經存在的使用者那樣，新增一個新使用者（改變密碼使其更加安全）：

<user name=“manager” password=“deep_dark_secret” roles=“manager”/>

然後重新啟動Tomcat，訪問http://localhost/manager/list，將看到一個很樸素的文字型管理介面，或者訪問http: //localhost/manager/html/list，將看到一個HMTL的管理介面。不管是哪種方式都說明你的Manager Web Application現在已經啟動了。

Manager application可以在沒有系統管理特權的基礎上，安裝新的Web應用，以用於測試。如果我們有一個新的web應用位於 /home/user/hello下在，並且想把它安裝到 /hello下，為了測試這個應用，可以這麼做，在第一個檔案框中輸入“/hello”（作為訪問時的path），在第二個文字框中輸入“file: /home/user/hello”（作為Config URL）。

Manager application還允許停止、重新啟動、移除以及重新部署一個web應用。停止一個應用使其無法被訪問，當有使用者嘗試訪問這個被停止的應用時，將 看到一個503的錯誤——“503 - This application is not currently available”。

移除一個web應用，只是指從Tomcat的執行拷貝中刪除了該應用，如果重新啟動Tomcat，被刪除的應用將再次出現（也就是說，移除並不是指從硬碟上刪除）。

有兩個辦法可以在系統中部署web服務。

1> 拷貝WAR檔案或者web應用資料夾（包括該web的所有內容）到$CATALINA_BASE/webapps目錄下。

2> 為web服務建立一個只包括context內容的XML片斷檔案，並把該檔案放到$CATALINA_BASE/webapps目錄下。這個web應用本身可以儲存在硬碟上的任何地方。

如果有一個WAR檔案，想部署它，則只需要把該檔案簡單的拷貝到CATALINA_BASE/webapps目錄下即可，檔案必須以“.war”作 為副檔名。一旦Tomcat監聽到這個檔案，它將（預設的）解開該檔案包作為一個子目錄，並以WAR檔案的檔名作為子目錄的名字。接下來，Tomcat 將在記憶體中建立一個context，就好象在server.xml檔案裡建立一樣。當然，其他必需的內容，將從server.xml中的 DefaultContext獲得。

部署web應用的另一種方式是寫一個Context XML片斷檔案，然後把該檔案拷貝到CATALINA_BASE/webapps目錄下。一個Context片斷並非一個完整的XML檔案，而只是一個 context元素，以及對該應用的相應描述。這種片斷檔案就像是從server.xml中切取出來的context元素一樣，所以這種片斷被命名為 “context片斷”。

舉個例子，如果我們想部署一個名叫MyWebApp.war的應用，該應用使用realm作為訪問控制方式，我們可以使用下面這個片斷：

<!--

Context fragment for deploying MyWebApp.war

-->

<Context path=“/demo” docBase=“webapps/MyWebApp.war”

debug=“0” privileged=“true”>

<Realm className=“org.apache.catalina.realm.UserDatabaseRealm”

resourceName=“UserDatabase”/>

</Context>

把該片斷命名為“MyWebApp.xml”，然後拷貝到CATALINA_BASE/webapps目錄下。

這種context片斷提供了一種便利的方法來部署web應用，不需要編輯server.xml，除非想改變預設的部署特性，安裝一個新的web應用時不需要重啟動Tomcat。

（Virtual Hosts）

關於server.xml中“Host”這個元素，只有在設定虛擬主機的才需要修改。虛擬主機是一種在一個web伺服器上服務多個域名的機制，對每個域 名而言，都好象獨享了整個主機。實際上，大多數的小型商務網站都是採用虛擬主機實現的，這主要是因為虛擬主機能直接連線到Internet並提供相應的帶 寬，以保障合理的訪問響應速度，另外虛擬主機還能提供一個穩定的固定IP。

基於名字的虛擬主機可以被建立在任何web伺服器上，建立的方法就是通過在域名伺服器（DNS）上建立IP地址的別名，並且告訴web伺服器把去往不同域 名的請求分發到相應的網頁目錄。

在Tomcat中使用虛擬主機，需要設定DNS或主機資料。為了測試，為本地IP設定一個IP別名就足夠了，接下來，你需要在server.xml中新增幾行內容，如下：

<Server port=“8005” shutdown=“SHUTDOWN” debug=“0”>

<Service name=“Tomcat-Standalone”>

<Connector className=“org.apache.coyote.tomcat4.CoyoteConnector”

port=“8080” minProcessors=“5” maxProcessors=“75”

enableLookups=“true” redirectPort=“8443”/>

<Connector className=“org.apache.coyote.tomcat4.CoyoteConnector”

port=“8443” minProcessors=“5” maxProcessors=“75”

acceptCount=“10” debug=“0” scheme=“https” secure=“true”/>

<Factory className=“org.apache.coyote.tomcat4.CoyoteServerSocketFactory”

clientAuth=“false” protocol=“TLS” />

</Connector>

<Engine name=“Standalone” defaultHost=“localhost” debug=“0”>

<!-- This Host is the default Host -->

<Host name=“localhost” debug=“0” appBase=“webapps”

unpackWARs=“true” autoDeploy=“true”>

<Context path=“” docBase=“ROOT” debug=“0”/>

<Context path=“/orders” docBase=“/home/ian/orders” debug=“0”

reloadable=“true” crossContext=“true”>

</Context>

</Host>

<!-- This Host is the first “Virtual Host”: www.example. com -->

<Host name=“www.example. com” appBase=“/home/example/webapp”>

<Context path=“” docBase=“.”/>

</Host>

</Engine>

</Service>

</Server>

Tomcat的server.xml檔案，在初始狀態下，只包括一個虛擬主機，但是它容易被擴充到支援多個虛擬主機。在前面的例子中展示的是一個簡單的 server.xml版本，其中粗體部分就是用於新增一個虛擬主機。每一個Host元素必須包括一個或多個context元素，所包含的context元 素中必須有一個是預設的context，這個預設的context的顯示路徑應該為空（例如，path=“”）。

（Basic Authentication）

容器管理驗證方法控制著當使用者訪問受保護的web應用資源時，如何進行使用者的身份鑑別。當一個web應用使用了Basic Authentication（BASIC引數在web.xml檔案中auto-method元素中設定），而有使用者訪問受保護的web應用時， Tomcat將通過HTTP Basic Authentication方式，彈出一個對話方塊，要求使用者輸入使用者名稱和密碼。在這種驗證方法中，所有密碼將被以64位的編碼方式在網路上傳輸。

注意：使用Basic Authentication通常被認為是不安全的，因為它沒有強健的加密方法，除非在客戶端和伺服器端都使用HTTPS或者其他密碼加密碼方式（比如， 在一個虛擬私人網路中）。若沒有額外的加密方法，網路管理員將能夠截獲（或濫用）使用者的密碼。但是，如果是剛開始使用Tomcat，或者你想在你的 web應用中測試一下基於容器的安全管理，Basic Authentication還是非常易於設定和使用的。只需要新增<security-constraint>和<login- config>兩個元素到web應用的web.xml檔案中，並且在CATALINA_BASE/conf/tomcat-users.xml 檔案中新增適當的<role>和<user>即可，然後重新啟動Tomcat。

（Single Sign-On）

一旦設定了realm和驗證的方法，就需要進行實際的使用者登入處理。一般說來，對使用者而言登入系統是一件很麻煩的事情，必須儘量減少使用者登入驗證的 次數。作為預設的情況，當使用者第一次請求受保護的資源時，每一個web應用都會要求使用者登入。如果執行了多個web應用，並且每個應用都需要進行單獨的 使用者驗證，那這看起來就有點像在使用者搏鬥。使用者們不知道怎樣才能把多個分離的應用整合成一個單獨的系統，所有使用者也就不知道他們需要訪問多少個不 同的應用，只是很迷惑，為什麼總要不停的登入。

Tomcat 4的“single sign-on”特性允許使用者在訪問同一虛擬主機下所有web應用時，只需登入一次。為了使用這個功能，只需要在Host上新增一個SingleSignOn Valve元素即可，如下所示：

<Valve className=“org.apache.catalina.authenticator.SingleSignOn”

debug=“0”/>

在Tomcat初始安裝後，server.xml的註釋裡面包括SingleSignOn Valve配置的例子，只需要去掉註釋，即可使用。那麼，任何使用者只要登入過一個應用，則對於同一虛擬主機下的所有應用同樣有效。

使用single sign-on valve有一些重要的限制：

1> value必須被配置和巢狀在相同的Host元素裡，並且所有需要進行單點驗證的web應用（必須通過context元素定義）都位於該Host下。

2> 包括共享使用者資訊的realm必須被設定在同一級Host中或者巢狀之外。

3> 不能被context中的realm覆蓋。

4> 使用單點登入的web應用最好使用一個Tomcat的內建的驗證方式（被定義在web.xml中的<auth-method>中），這比自定 義的驗證方式強，Tomcat內建的的驗證方式包括basic、digest、form和client-cert。

5> 如果你使用單點登入，還希望整合一個第三方的web應用到你的網站中來，並且這個新的web應用使用它自己的驗證方式，而不使用容器管理安全，那你基本上 就沒招了。使用者每次登入原來所有應用時需要登入一次，並且在請求新的第三方應用時還得再登入一次。

6> 單點登入需要使用cookies。

一些站點允許個別使用者在伺服器上釋出網頁。例如，一所大學的學院可能想給每一位學生一個公共區域，或者是一個ISP希望給一些web空間給他的客戶，但這又不是虛擬主機。在這種情況下，一個典型的方法就是在使用者名稱前面加一個特殊字元（~），作為每位使用者的網站，比如：

http://www.cs.myuniversity. edu/~username提供兩種方法在主機上對映這些個人網站，主要使用一對特殊的Listener元素。Listener的className屬性應該是 org.apache.catalina.startup.UserConfig，userClass屬性應該是幾個對映類之一。如果電腦系統是 Unix，它將有一個標準的/etc/passwd檔案，該檔案中的帳號能夠被執行中的Tomcat很容易的讀取，該檔案指定了使用者的主目錄，使用 PasswdUserDatabase 對映類。

http://members.mybigisp. com/~username

Tomcat

<Listener className=“org.apache.catalina.startup.UserConfig”

directoryName=“public_html”

userClass=“org.apache.catalina.startup.PasswdUserDatabase”/>

web檔案需要放置在像/home/users/ian/public_html 或者 /users/jbrittain/public_html一樣的目錄下面。當然你也可以改變public_html 到其他任何子目錄下。

實際上，這個使用者目錄根本不一定需要位於使用者主目錄下里面。如果你沒有一個密碼檔案，但你又想把一個使用者名稱對映到公共的像/home一樣目錄的子目錄裡面，則可以使用HomesUserDatabase類。

<Listener className=“org.apache.catalina.startup.UserConfig”

directoryName=“public_html” homeBase=“/home”

userClass=“org.apache.catalina.startup.HomesUserDatabase”/>

這樣一來，web檔案就可以位於像/home/ian/public_html 或者 /home/jasonb/public_html一樣的目錄下。這種形式對Windows而言更加有利，你可以使用一個像c:\home這樣的目錄。

這些Listener元素，如果出現，則必須在Host元素裡面，而不能在context元素裡面，因為它們都用應用於Host本身。

Tomcat主要是作為Servlet/JSP容器，但它也有許多傳統web伺服器的效能。支援通用閘道器介面（Common Gateway Interface，即CGI）就是其中之一，CGI提供一組方法在響應瀏覽器請求時執行一些擴充套件程式。CGI之所以被稱為通用，是因為它能在大多數程式 或指令碼中被呼叫，包括：Perl，Python，awk，Unix shell scripting等，甚至包括Java。不會把一個Java應用程式當作CGI來執行，畢竟這樣太過原始。一般而言，開發Servlet總 要比CGI具有更好的效率，因為當使用者點選一個連結或一個按鈕時，不需要從作業系統層開始進行處理。

Tomcat包括一個可選的CGI Servlet，允許你執行遺留下來的CGI指令碼。

1. 把servlets-cgi.renametojar （在CATALINA_HOME/server/lib/目錄下）改名為servlets-cgi.jar。處理CGI的servlet應該位於Tomcat的CLASSPATH下。

2. 在Tomcat的CATALINA_BASE/conf/web.xml 檔案中，把關於<servlet-name> CGI的那段的註釋去掉（預設情況下，該段位於第241行）。

3. 同樣，在Tomcat的CATALINA_BASE/conf/web.xml檔案中，把關於對CGI進行對映的那段的註釋去掉（預設情況下，該段位於第299行）。注意，這段內容指定了HTML連結到CGI指令碼的訪問方式。

4. 可以把CGI指令碼放置在WEB-INF/cgi 目錄下（注意，WEB-INF是一個安全的地方，你可以把一些不想被使用者看見或基於安全考慮不想暴露的檔案放在此處），或者也可以把CGI指令碼放置在 context下的其他目錄下，併為CGI Servlet調整cgiPathPrefix初始化引數。這就指定的CGI Servlet的實際位置，且不能與上一步指定的URL重名。

5. 重新啟動Tomcat，你的CGI就可以執行了。

在Tomcat中，CGI程式預設放置在WEB-INF/cgi目錄下，正如前面所提示的那樣，WEB-INF目錄受保護的，通過客戶端的瀏覽器無法窺探 到其中內容，所以對於放置含有密碼或其他敏感資訊的CGI指令碼而言，這是一個非常好的地方。為了相容其他伺服器，儘管你也可以把CGI指令碼儲存在傳統的 /cgi-bin目錄，但要知道，在這些目錄中的檔案有可能被網上好奇的衝浪者看到。另外，在Unix中，請確定執行Tomcat的使用者有執行CGI指令碼 的許可權。

在Tomcat 4.1（或更高版本，大概），JSP的編譯由包含在Tomcat裡面的Ant程式控制器直接執行。這聽起來有一點點奇怪，但這正是Ant有意為之的一部 分，有一個API文件指導開發者在沒有啟動一個新的JVM的情況下，使用Ant。這是使用Ant進行Java開發的一大優勢。另外，這也意味著你現在能夠 在Ant中使用任何javac支援的編譯方式，這裡有一個關於Apache Ant使用手冊的javac page列表。使用起來是容易的，因為你只需要在<init-param> 元素中定義一個名字叫“compiler”，並且在value中有一個支援編譯的編譯器名字，示例如下：

<servlet>

<servlet-name>jsp</servlet-name>

<servlet-class>

org.apache.jasper.servlet.JspServlet

</servlet-class>

<init-param>

<param-name>logVerbosityLevel</param-name>

<param-value>WARNING</param-value>

</init-param>

<init-param>

<param-name>compiler</param-name>

<param-value>jikes</param-value>

</init-param>

<load-on-startup>3</load-on-startup>

</servlet>

當然，給出的編譯器必須已經安裝在你的系統中，並且CLASSPATH可能需要設定，那取決於你選擇的是何種編譯器。

有時，可能想限制對Tomcat web應用的訪問，比如，希望只有指定的主機或IP地址可以訪問應用。這樣一來，就只有那些指定的的客戶端可以訪問服務的內容了。為了實現這種效 果，Tomcat提供了兩個引數供你配置：RemoteHostValve 和RemoteAddrValve。

通過配置這兩個引數，可以讓你過濾來自請求的主機或IP地址，並允許或拒絕哪些主機/IP。與之類似的，在Apache的httpd檔案裡有對每個目錄的允許/拒絕指定。

可以把Admin Web application設定成只允許本地訪問，設定如下：

<Context path=“/path/to/secret_files” …>

<Valve className=“org.apache.catalina.valves.RemoteAddrValve”

allow=“127.0.0.1” deny=“”/>

</Context>

如果沒有給出允許主機的指定，那麼與拒絕主機匹配的主機就會被拒絕，除此之外的都是允許的。

/bin：存放windows或Linux平臺上啟動和關閉Tomcat的指令碼檔案

/conf：存放Tomcat伺服器的各種全域性配置檔案，其中最重要的是server.xml和web.xml

/doc：存放Tomcat文件

/server：包含三個子目錄：classes、lib和webapps

/server/lib：存放Tomcat伺服器所需的各種JAR檔案

/server/webapps：存放Tomcat自帶的兩個WEB應用admin應用和 manager應用

/common/lib：存放Tomcat伺服器以及所有web應用都可以訪問的jar檔案

/shared/lib：存放所有web應用都可以訪問的jar檔案（但是不能被Tomcat伺服器訪問）

/logs：存放Tomcat執行時的日誌檔案

/src：存放Tomcat的原始碼

/webapps：Tomcat的主要Web釋出目錄，預設情況下把Web應用檔案放於此目錄

/work：存放JSP編譯後產生的class檔案

Tomcat是一個世界上廣泛使用的支援jsp和servlets的Web伺服器。它在java上執行時能夠很好地執行並支援Web應用部署。會因為設定不當，造成災難性的後果。在Tomcat預設安裝，Tomcat作為一個系統服務執行，如果沒有將其作為系統服務執行，幾乎所有Web伺服器管理員都是預設地將其以Administrator許可權執行。這兩種方式都允許Java執行時訪問Windows系統下任意資料夾中的任何檔案。預設情況下，Java執行時授予安全許可權。當 Tomcat以系統管理員身份或作為系統服務執行時，Java執行取得了系統使用者或系統管理員所具有的全部許可權。這樣一來，Java執行時就取得了所有資料夾中所有檔案的全部許可權。並且Servlets(JSP在執行過程中要轉換成Servlets)取得了同樣的許可權。所以Java程式碼可以呼叫Java SDK中的檔案API、列出資料夾中的全部檔案、刪除任何檔案，最大的危險在於以系統許可權執行一個程式。當任一Servlets含有如下程式碼：

b4ae04fd6dYsJkr5　Runtime rt = Runtime.getRuntime();

rt.exec(”c:\SomeDirectory\SomeUnsafePRogram.exe”)

其服務是以system許可權啟動。根據許可權最小安全原則，降低了指令碼所獲取的操作本地系統許可權。此操作如下：

1. 用”ITOMCAT_計算機名”建立一個普通使用者

2. 為其設定一個密碼

3. 保證”密碼永不過期”(PassWord Never Expires)被選中

1. 選定環境引數CATALINA_HOME或TOMCAT_HOME指向的Tomcat安裝資料夾。

2. 為”ITOMCAT_計算機名”使用者賦予讀、寫、執行的訪問許可權。

3. 為”ITOMCAT_計算機名”使用者賦予對WebApps資料夾的只讀訪問許可權。

4. 如果某些Web應用程式需要寫訪問許可權，單獨為其授予對那個資料夾的寫訪問許可權。

1. 到”控制皮膚”，選擇”管理工具”，然後選擇”服務”。

2. 找到Tomcat：比如Apache Tomcat.exe等等，開啟其”屬性”。

3. 選擇其”登入”(Log)標籤。

4. 選擇”以…登入”(Log ON Using)選項。

5. 鍵入新建的”ITOMCAT_計算機名”使用者作為使用者名稱。

6. 輸入密碼。

7. 重啟機器。

1. 在”開始”按鈕的”執行”框中鍵入CMD以開啟一個DOS視窗。

2. 鍵入”RunAs /user：ITOMCAT_計算機名 CMD.exe”命令。

3. 在詢問”ITOMCAT_計算機名”使用者的密碼時輸入設定的密碼。

4. 這將開啟一個新的DOS視窗。

5. 在新開的DOS視窗中，轉換到Tomcat的bin資料夾內。

6. 鍵入”catalina run”命令。

7. 關閉第一個DOS視窗。

CMD.EXE NET.EXE ATTRIB.EXE At.EXE NET1.EXE FTP.EXE TELNET.EXE COMMAND. COM CAcls.EXEnetstat.exe;system 全部許可權 ,其它使用者無許可權。