Apache Tomcat 10 配置参考

标志，用于确定是否将日志缓冲。如果设置为 false，则在每个请求之后将写入访问日志。默认值：true

要使用的实现的 Java 类名。必须将其设置为 org.apache.catalina.valves.AccessLogValve 才能使用默认访问日志阀。

与 conditionUnless 相同。提供此属性是为了向后兼容。

打开条件记录。如果设置，只有当 ServletRequest.getAttribute() 不为空时，请求才会被记录。例如，如果此值被设置为 important，则只有当 ServletRequest.getAttribute("important") != null 时，特定请求才会被记录。使用过滤器是设置/取消设置 ServletRequest 中属性的简单方法，可用于许多不同的请求。

打开条件记录。如果设置，只有当 ServletRequest.getAttribute() 为空时，请求才会被记录。例如，如果此值被设置为 junk，则只有当 ServletRequest.getAttribute("junk") == null 时，特定请求才会被记录。使用过滤器是设置/取消设置 ServletRequest 中属性的简单方法，可用于许多不同的请求。

此阀门创建的日志文件所在的目录的绝对或相对路径名。如果指定相对路径，则解释为相对于 $CATALINA_BASE。如果未指定目录属性，则默认值为“logs”（相对于 $CATALINA_BASE）。

用于写入日志文件的字符集。空字符串表示使用默认字符集。默认值：UTF-8。

允许在访问日志文件名中使用自定义时间戳。每当格式化的时间戳更改时，文件就会轮转。默认值为 .yyyy-MM-dd。如果您希望每小时轮转一次，请将此值设置为 .yyyy-MM-dd.HH。日期格式将始终使用语言环境 en_US 进行本地化。

标志，用于确定是否应以 RFC 5952 定义的规范表示格式表示 IPv6 地址。如果设置为 true，则 IPv6 地址将以规范格式写入（例如 2001:db8::1:0:0:1、::1），否则将以完整格式表示（例如 2001:db8:0:0:1:0:0:1、0:0:0:0:0:0:0:1）。默认值：false

用于格式化访问日志行中时间戳的语言环境。使用显式 SimpleDateFormat 模式（%{xxx}t）配置的所有时间戳都将在此语言环境中进行格式化。默认情况下，使用 Java 进程的默认语言环境。不支持在 AccessLogValve 初始化后切换语言环境。使用通用日志格式 (CLF) 的所有时间戳始终以语言环境 en_US 进行格式化。

轮转访问日志将被保留的最大天数，然后删除。如果未指定，将使用默认值 -1，这意味着永远不删除旧文件。

日志消息缓冲区通常会被回收和重新使用。为了防止过度使用内存，如果缓冲区增长超过此大小，它将被丢弃。默认值为 256 个字符。这应该设置为大于典型的访问日志消息大小。

一种格式化布局，用于标识要记录的请求和响应中的各种信息字段，或单词 common 或 combined 以选择标准格式。有关如何配置此属性的更多信息，请参见下文。

添加到每个日志文件名称开头的前缀。如果未指定，则默认值为“access_log”。

对于可轮换日志，默认情况下，活动访问日志文件名称将包含 fileDateFormat 中的当前时间戳。在轮换期间，文件将关闭，并创建一个名称中包含下一个时间戳的新文件并使用它。将 renameOnRotate 设置为 true 时，时间戳不再是活动日志文件名称的一部分。仅在轮换期间关闭文件，然后将其重命名为包含时间戳。这类似于大多数日志框架在执行基于时间轮换时的行为。默认值：false

设置为 true 以检查请求属性（通常由 RemoteIpValve 等设置）的存在，这些属性应用于覆盖请求返回的远程地址、远程主机、服务器端口和协议的值。如果未设置属性，或此属性设置为 false，则将使用请求中的值。如果未设置，将使用默认值 false。

此属性不再受支持。请改用连接器属性 enableLookups。

如果已将连接器上的 enableLookups 设置为 true，并且想要忽略它，请在 pattern 的值中使用 %a 而不是 %h。

确定是否应进行日志轮换的标志。如果设置为 false，则此文件永远不会轮换，并且会忽略 fileDateFormat。默认值：true

添加到每个日志文件名称末尾的后缀。如果未指定，则默认值为 ""（零长度字符串），这意味着不会添加后缀。

要使用的实现的 Java 类名。必须将其设置为 org.apache.catalina.valves.ExtendedAccessLogValve 才能使用扩展访问日志阀。

一个格式化布局，用于识别要记录的请求和响应中的各种信息字段。有关如何配置此属性的更多信息，请参见下文。

要使用的实现的 Java 类名称。必须将其设置为 org.apache.catalina.valves.JsonAccessLogValve 才能使用扩展的访问日志阀。

要使用的实现的 Java 类名。此项必须设置为 org.apache.catalina.valves.RemoteAddrValve。

远程客户端的 IP 地址与其进行比较的正则表达式（使用 java.util.regex）。如果指定此属性，则远程地址必须匹配才能接受此请求。如果未指定此属性，则将接受所有请求，除非远程地址与 deny 模式匹配。

远程客户端的 IP 地址与其进行比较的正则表达式（使用 java.util.regex）。如果指定此属性，则远程地址不能匹配才能接受此请求。如果未指定此属性，则请求接受仅受 allow 属性控制。

拒绝拒绝的请求时使用的 HTTP 响应状态代码。默认值为 403。例如，可以将其设置为值 404。

将服务器连接器端口附加到客户端 IP 地址，并用分号 (";") 分隔。如果将其设置为 true，则使用 allow 和 deny 配置的表达式将与 ADDRESS;PORT 进行比较，其中 ADDRESS 是客户端 IP 地址，而 PORT 是接收请求的 Tomcat 连接器端口。默认值为 false。

当请求应该被拒绝时，不要拒绝，而是设置一个无效的 authentication 标头。仅当上下文已设置属性 preemptiveAuthentication="true" 时，此方法才有效。不会覆盖已存在的 authentication 标头。实际上，即使应用程序未配置安全约束，此方法也会触发身份验证，而不是拒绝。

这可以与 addConnectorPort 结合使用，以根据用于访问应用程序的客户端和连接器触发身份验证。

使用连接对等地址，而不是客户端 IP 地址。如果在 Tomcat 前面使用反向代理与 AJP 协议或 HTTP 协议以及 RemoteIp(Valve|Filter) 结合使用，它们将有所不同。

要使用的实现的 Java 类名。此项必须设置为 org.apache.catalina.valves.RemoteHostValve。

一个正则表达式（使用 java.util.regex），用于与远程客户端的主机名进行比较。如果指定此属性，则远程主机名必须匹配才能接受此请求。如果未指定此属性，则将接受所有请求，除非远程主机名与 deny 模式匹配。

一个正则表达式（使用 java.util.regex），用于与远程客户端的主机名进行比较。如果指定此属性，则远程主机名必须不匹配才能接受此请求。如果未指定此属性，则请求接受仅受 allow 属性控制。

拒绝拒绝的请求时使用的 HTTP 响应状态代码。默认值为 403。例如，可以将其设置为值 404。

将服务器连接器端口附加到客户端主机名，以分号 (";") 分隔。如果将其设置为 true，则使用 allow 和 deny 配置的表达式将与 HOSTNAME;PORT 进行比较，其中 HOSTNAME 是客户端主机名，PORT 是接收请求的 Tomcat 连接器端口。默认值为 false。

当请求应该被拒绝时，不要拒绝，而是设置一个无效的 authentication 标头。仅当上下文已设置属性 preemptiveAuthentication="true" 时，此方法才有效。不会覆盖已存在的 authentication 标头。实际上，即使应用程序未配置安全约束，此方法也会触发身份验证，而不是拒绝。

这可以与 addConnectorPort 结合使用，以根据用于访问应用程序的客户端和连接器触发身份验证。

要使用的实现的 Java 类名。这必须设置为 org.apache.catalina.valves.RemoteCIDRValve。

远程客户端的 IP 地址与之匹配的 IPv4 或 IPv6 网络掩码或地址的逗号分隔列表。如果指定此属性，则远程地址必须匹配才能接受此请求。如果未指定此属性，则将接受所有请求，除非远程 IP 与 deny 属性中的网络掩码匹配。

远程客户端的 IP 地址与之匹配的 IPv4 或 IPv6 网络掩码或地址的逗号分隔列表。如果指定此属性，则远程地址不得匹配才能接受此请求。如果未指定此属性，则请求接受仅受 accept 属性控制。

拒绝拒绝的请求时使用的 HTTP 响应状态代码。默认值为 403。例如，可以将其设置为值 404。

将服务器连接器端口附加到客户端 IP 地址，并用分号 (";") 分隔。如果将其设置为 true，则使用 allow 和 deny 配置的表达式将与 ADDRESS;PORT 进行比较，其中 ADDRESS 是客户端 IP 地址，而 PORT 是接收请求的 Tomcat 连接器端口。默认值为 false。

当请求应该被拒绝时，不要拒绝，而是设置一个无效的 authentication 标头。仅当上下文已设置属性 preemptiveAuthentication="true" 时，此方法才有效。不会覆盖已存在的 authentication 标头。实际上，即使应用程序未配置安全约束，此方法也会触发身份验证，而不是拒绝。

这可以与 addConnectorPort 结合使用，以根据用于访问应用程序的客户端和连接器触发身份验证。

使用连接对等地址，而不是客户端 IP 地址。如果在 Tomcat 前面使用反向代理与 AJP 协议或 HTTP 协议以及 RemoteIp(Valve|Filter) 结合使用，它们将有所不同。

要使用的实现的 Java 类名称。这必须设置为 org.apache.catalina.valves.LoadBalancerDrainingValve。

允许设置一个自定义重定向代码，当客户端被重定向到由负载均衡器重新平衡时使用。默认值为 307 TEMPORARY_REDIRECT。

当与 ignoreCookieValue 一起使用时，客户端可以提供此 Cookie（及随附的值），这将导致此 Valve 不执行任何操作。这将允许你在重新启用之前探测你的已禁用节点，以确保它按预期工作。

当与 ignoreCookieName 一起使用时，客户端可以提供一个 Cookie（及随附的值），这将导致此 Valve 不执行任何操作。这将允许你在重新启用之前探测你的已禁用节点，以确保它按预期工作。

要使用的实现的 Java 类名称。此项必须设置为 org.apache.catalina.valves.RemoteIpValve。

此阀读取的 HTTP 标头名称，其中包含从请求客户端开始遍历的 IP 地址列表。如果未指定，则使用默认值 x-forwarded-for。

正则表达式（使用 java.util.regex），代理的 IP 地址必须与之匹配才能被视为内部代理。出现在 remoteIpHeader 中的内部代理将被信任，并且不会出现在 proxiesHeader 值中。如果未指定，则使用默认值 10\.\d{1,3}\.\d{1,3}\.\d{1,3}|192\.168\.\d{1,3}\.\d{1,3}|169\.254\.\d{1,3}\.\d{1,3}|127\.\d{1,3}\.\d{1,3}\.\d{1,3}|100\.6[4-9]{1}\.\d{1,3}\.\d{1,3}|100\.[7-9]{1}\d{1}\.\d{1,3}\.\d{1,3}|100\.1[0-1]{1}\d{1}\.\d{1,3}\.\d{1,3}|100\.12[0-7]{1}\.\d{1,3}\.\d{1,3}|172\.1[6-9]{1}\.\d{1,3}\.\d{1,3}|172\.2[0-9]{1}\.\d{1,3}\.\d{1,3}|172\.3[0-1]{1}\.\d{1,3}\.\d{1,3}|0:0:0:0:0:0:0:1 。

此阀创建的 HTTP 标头名称，用于保存已在传入 remoteIpHeader 中处理的代理列表。如果未指定，则使用默认值 x-forwarded-by。

设置为 true 以设置 AccessLog 实现使用的请求属性，以覆盖请求返回的远程地址、远程主机、服务器端口和协议的值。请求属性还用于在 Manager Web 应用程序的状态页面上显示已转发的远程地址。如果未设置，则使用默认值 true。

正则表达式（使用 java.util.regex），代理的 IP 地址必须与之匹配才能被视为受信任代理。出现在 remoteIpHeader 中的受信任代理将被信任，并且会出现在 proxiesHeader 值中。如果未指定，则不会信任任何代理。

此阀读取的 HTTP 标头名称，其中包含客户端用于连接到代理的协议。如果未指定，则使用默认值 X-Forwarded-Proto。

此阀读取的 HTTP 标头名称，其中包含客户端用于连接到代理的主机。如果未指定，则使用默认值 null。

此阀读取的 HTTP 标头名称，其中包含客户端用于连接到代理的端口。如果未指定，则使用默认值 null。

protocolHeader 的值，用于指示它是 HTTPS 请求。如果未指定，则使用默认值 https。

当 protocolHeader 指示 http 协议且没有 portHeader 时，ServletRequest.getServerPort() 返回的值。如果未指定，则使用默认值 80。

当 protocolHeader 指示 https 协议且没有 portHeader 时，ServletRequest.getServerPort() 返回的值。如果未指定，则使用默认值 443。

如果为 true，则此阀门将修改 ServletRequest.getLocalHost() 和 ServletRequest.getServerHost() 返回的值。如果未指定，则使用默认值 false。

如果为 true，则此阀门将修改 ServletRequest.getLocalPort() 和 ServletRequest.getServerPort() 返回的值。如果未指定，则使用默认值 false。

要使用的实现的 Java 类名。此项必须设置为 org.apache.catalina.valves.SSLValve。

允许为 ssl_client_cert 头设置自定义名称。如果未指定，则使用默认值 ssl_client_cert。

允许为 ssl_client_escaped_cert 头设置自定义名称。如果未指定，则使用默认值 ssl_client_escaped_cert。

此头对 Nginx 代理很有用，并且优先于 ssl_client_cert 头。

允许为 ssl_cipher 头设置自定义名称。如果未指定，则使用默认值 ssl_cipher。

允许为 ssl_session_id 头设置自定义名称。如果未指定，则使用默认值 ssl_session_id。

允许为 ssl_cipher_usekeysize 标头设置自定义名称。如果未指定，则使用 ssl_cipher_usekeysize 的默认值。

允许符合 CORS 规范要求的、看似 CORS 预检请求的请求绕过身份验证器。允许的值为 never、filter 和 always。never 表示请求绝不会绕过身份验证，即使它看似 CORS 预检请求。filter 表示如果请求看似 CORS 预检请求，则请求将绕过身份验证；它映射到启用了CORS 过滤器的 Web 应用程序；并且 CORS 过滤器映射到 /*。always 表示所有看似 CORS 预检请求的请求都将绕过身份验证。如果未设置，则默认值为 never。

用户经过身份验证后是否始终使用会话？这可能会提供一些性能优势，因为会话可用于缓存经过身份验证的主体，因此无需在每次请求时通过领域对用户进行身份验证。这可能有助于使用 JNDIRealm 或 DataSourceRealms 的基本身份验证等组合。但是，创建和 GC 会话也会有性能成本。如果未设置，将使用默认值 false。

如果请求是 HTTP 会话的一部分，我们是否应该缓存经过身份验证的主体？如果未指定，将使用默认值 true。

控制在用户经过身份验证时是否存在会话时是否更改会话 ID。这是为了防止会话固定攻击。如果未设置，将使用默认值 true。

控制 WWW-Authenticate HTTP 标头是否包含 charset 身份验证参数，如 RFC 7617 所述。唯一允许的选项是 null、空字符串和 UTF-8。如果指定 UTF-8，则 charset 身份验证参数将使用该值发送，并且提供的用户名和可选密码将使用 UTF-8 从字节转换为字符。否则，不会发送 charset 身份验证参数，并且提供的用户名和可选密码将使用 ISO-8859-1 从字节转换为字符。默认值为 null

要使用的实现的 Java 类名。这必须设置为 org.apache.catalina.authenticator.BasicAuthenticator。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于解决某些浏览器中的缓存问题，但也将导致安全页面被代理缓存，这几乎肯定会成为安全问题。securePagesWithPragma 为浏览器缓存问题提供了一种替代的安全解决方法。如果未设置，将使用默认值 true。

JASPIC 应使用的 javax.security.auth.callback.CallbackHandler 实现的 Java 类的名称。如果未指定，将使用默认的 org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于解决某些浏览器中的缓存问题，方法是使用 Cache-Control: private 而不是默认的 Pragma: No-cache 和 Cache-control: No-cache。如果未设置，将使用默认值 false。

用于创建生成会话 ID 的 java.security.SecureRandom 实例的算法名称。如果指定了无效的算法和/或提供程序，将使用平台默认提供程序和默认算法。如果未指定，将使用 SHA1PRNG 的默认算法。如果默认算法不受支持，将使用平台默认值。要指定应使用平台默认值，请不要设置 secureRandomProvider 属性，并将此属性设置为一个空字符串。

扩展 java.security.SecureRandom 以用于生成 SSO 会话 ID 的 Java 类的名称。如果未指定，默认值为 java.security.SecureRandom。

用于创建生成 SSO 会话 ID 的 java.security.SecureRandom 实例的提供程序的名称。如果指定了无效的算法和/或提供程序，将使用平台默认提供程序和默认算法。如果未指定，将使用平台默认提供程序。

控制是否将身份验证信息（远程用户和身份验证类型）作为转发/代理请求的响应头返回。当 RemoteIpValve 或 RemoteIpFilter 使用 Globals.REQUEST_FORWARDED_ATTRIBUTE 标记转发请求时，此身份验证器可以将 HttpServletRequest.getRemoteUser() 和 HttpServletRequest.getAuthType() 的值作为响应头 remote-user 和 auth-type 返回给反向代理。这很有用，例如，用于访问日志一致性或其他决策。如果未指定，则默认值为 false。

控制是否从解析的凭据中删除前导和/或尾随空格。如果未指定，则默认值为 false。

注意：此属性将从 Tomcat 11 起删除。

用于身份验证过程的摘要算法的逗号分隔列表。可以使用 Java 标准名称或 RFC 7616 使用的名称指定算法。如果未指定，则将使用默认值 SHA-256,MD5。

允许符合 CORS 规范要求的、看似 CORS 预检请求的请求绕过身份验证器。允许的值为 never、filter 和 always。never 表示请求绝不会绕过身份验证，即使它看似 CORS 预检请求。filter 表示如果请求看似 CORS 预检请求，则请求将绕过身份验证；它映射到启用了CORS 过滤器的 Web 应用程序；并且 CORS 过滤器映射到 /*。always 表示所有看似 CORS 预检请求的请求都将绕过身份验证。如果未设置，则默认值为 never。

用户经过身份验证后是否始终使用会话？这可能会提供一些性能优势，因为会话可用于缓存经过身份验证的主体，因此无需在每次请求时通过领域对用户进行身份验证。这可能有助于使用 JNDIRealm 或 DataSourceRealms 的基本身份验证等组合。但是，创建和 GC 会话也会有性能成本。如果未设置，将使用默认值 false。

如果请求是 HTTP 会话的一部分，我们是否应缓存经过身份验证的主体？如果未指定，则将使用默认值 false。

控制在用户经过身份验证时是否存在会话时是否更改会话 ID。这是为了防止会话固定攻击。如果未设置，将使用默认值 true。

要使用的实现的 Java 类名。这必须设置为 org.apache.catalina.authenticator.DigestAuthenticator。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于解决某些浏览器中的缓存问题，但也将导致安全页面被代理缓存，这几乎肯定会成为安全问题。securePagesWithPragma 为浏览器缓存问题提供了一种替代的安全解决方法。如果未设置，将使用默认值 true。

JASPIC 应使用的 javax.security.auth.callback.CallbackHandler 实现的 Java 类的名称。如果未指定，将使用默认的 org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl。

摘要身份验证使用的密钥。如果未设置，则会生成一个安全随机值。通常只有在有必要在服务器重新启动和/或集群中保持密钥值不变时才应设置此值。

为了防止重放攻击，DIGEST 身份验证器会跟踪服务器随机数和随机数计数值。此属性控制该缓存的大小。如果未指定，则使用默认值 1000。

客户端请求可能会乱序处理，这意味着随机数计数值也可能会乱序处理。为了防止在随机数计数乱序呈现时出现身份验证失败，身份验证器会跟踪随机数计数值的窗口。此属性控制该窗口的大小。如果未指定，则使用默认值 100。

服务器生成的随机数在身份验证中被视为有效的毫秒数。如果未指定，则将使用默认值 300000（5 分钟）。

摘要验证使用的服务器不透明字符串。如果没有设置，将生成一个随机值。通常只在需要在服务器重启和/或群集之间保持不透明值不变时才设置此值。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于解决某些浏览器中的缓存问题，方法是使用 Cache-Control: private 而不是默认的 Pragma: No-cache 和 Cache-control: No-cache。如果未设置，将使用默认值 false。

用于创建生成会话 ID 的 java.security.SecureRandom 实例的算法名称。如果指定了无效的算法和/或提供程序，将使用平台默认提供程序和默认算法。如果未指定，将使用 SHA1PRNG 的默认算法。如果默认算法不受支持，将使用平台默认值。要指定应使用平台默认值，请不要设置 secureRandomProvider 属性，并将此属性设置为一个空字符串。

扩展 java.security.SecureRandom 以用于生成 SSO 会话 ID 的 Java 类的名称。如果未指定，默认值为 java.security.SecureRandom。

用于创建生成 SSO 会话 ID 的 java.security.SecureRandom 实例的提供程序的名称。如果指定了无效的算法和/或提供程序，将使用平台默认提供程序和默认算法。如果未指定，将使用平台默认提供程序。

控制是否将身份验证信息（远程用户和身份验证类型）作为转发/代理请求的响应头返回。当 RemoteIpValve 或 RemoteIpFilter 使用 Globals.REQUEST_FORWARDED_ATTRIBUTE 标记转发请求时，此身份验证器可以将 HttpServletRequest.getRemoteUser() 和 HttpServletRequest.getAuthType() 的值作为响应头 remote-user 和 auth-type 返回给反向代理。这很有用，例如，用于访问日志一致性或其他决策。如果未指定，则默认值为 false。

是否应根据 RFC2617 验证 URI？如果没有指定，将使用默认值 true。通常只在 Tomcat 位于反向代理后面并且代理修改传递给 Tomcat 的 URI 时才设置此值，以使 DIGEST 验证始终失败。

允许符合 CORS 规范要求的、看似 CORS 预检请求的请求绕过身份验证器。允许的值为 never、filter 和 always。never 表示请求绝不会绕过身份验证，即使它看似 CORS 预检请求。filter 表示如果请求看似 CORS 预检请求，则请求将绕过身份验证；它映射到启用了CORS 过滤器的 Web 应用程序；并且 CORS 过滤器映射到 /*。always 表示所有看似 CORS 预检请求的请求都将绕过身份验证。如果未设置，则默认值为 never。

如果验证过程创建会话，这是验证过程中的最大会话超时时间（以秒为单位）。一旦验证完成，将应用默认会话超时时间。在验证过程开始之前存在的会话将始终保留其原始会话超时时间。如果没有设置，将使用默认值 120 秒。

控制在用户经过身份验证时是否存在会话时是否更改会话 ID。这是为了防止会话固定攻击。如果未设置，将使用默认值 true。

用于从请求中读取用户名和密码参数的字符编码。如果没有设置，将使用请求正文的编码。

要使用的实现的 Java 类名。此项必须设置为 org.apache.catalina.authenticator.FormAuthenticator。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于解决某些浏览器中的缓存问题，但也将导致安全页面被代理缓存，这几乎肯定会成为安全问题。securePagesWithPragma 为浏览器缓存问题提供了一种替代的安全解决方法。如果未设置，将使用默认值 true。

JASPIC 应使用的 javax.security.auth.callback.CallbackHandler 实现的 Java 类的名称。如果未指定，将使用默认的 org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl。

如果 FORM 验证过程被误用（例如直接请求登录页面或延迟登录时间过长以致会话过期），则控制 FORM 验证过程的行为。如果设置此属性，Tomcat 不会返回错误响应代码，而是在使用有效凭据提交登录表单时将用户重定向到指定的登录页面。要处理登录，登录页面必须是受保护的资源（即需要验证的资源）。如果登录页面不需要验证，则用户将不会登录，并且在访问受保护页面时会再次提示他们输入凭据。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于解决某些浏览器中的缓存问题，方法是使用 Cache-Control: private 而不是默认的 Pragma: No-cache 和 Cache-control: No-cache。如果未设置，将使用默认值 false。

用于创建生成会话 ID 的 java.security.SecureRandom 实例的算法名称。如果指定了无效的算法和/或提供程序，将使用平台默认提供程序和默认算法。如果未指定，将使用 SHA1PRNG 的默认算法。如果默认算法不受支持，将使用平台默认值。要指定应使用平台默认值，请不要设置 secureRandomProvider 属性，并将此属性设置为一个空字符串。

扩展 java.security.SecureRandom 以用于生成 SSO 会话 ID 的 Java 类的名称。如果未指定，默认值为 java.security.SecureRandom。

用于创建生成 SSO 会话 ID 的 java.security.SecureRandom 实例的提供程序的名称。如果指定了无效的算法和/或提供程序，将使用平台默认提供程序和默认算法。如果未指定，将使用平台默认提供程序。

控制是否将身份验证信息（远程用户和身份验证类型）作为转发/代理请求的响应头返回。当 RemoteIpValve 或 RemoteIpFilter 使用 Globals.REQUEST_FORWARDED_ATTRIBUTE 标记转发请求时，此身份验证器可以将 HttpServletRequest.getRemoteUser() 和 HttpServletRequest.getAuthType() 的值作为响应头 remote-user 和 auth-type 返回给反向代理。这很有用，例如，用于访问日志一致性或其他决策。如果未指定，则默认值为 false。

允许符合 CORS 规范要求的、看似 CORS 预检请求的请求绕过身份验证器。允许的值为 never、filter 和 always。never 表示请求绝不会绕过身份验证，即使它看似 CORS 预检请求。filter 表示如果请求看似 CORS 预检请求，则请求将绕过身份验证；它映射到启用了CORS 过滤器的 Web 应用程序；并且 CORS 过滤器映射到 /*。always 表示所有看似 CORS 预检请求的请求都将绕过身份验证。如果未设置，则默认值为 never。

如果请求是 HTTP 会话的一部分，我们是否应该缓存经过身份验证的主体？如果未指定，将使用默认值 true。

要使用的实现的 Java 类名。此项必须设置为 org.apache.catalina.authenticator.SSLAuthenticator。

控制在用户经过身份验证时是否存在会话时是否更改会话 ID。这是为了防止会话固定攻击。如果未设置，将使用默认值 true。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于解决某些浏览器中的缓存问题，但也将导致安全页面被代理缓存，这几乎肯定会成为安全问题。securePagesWithPragma 为浏览器缓存问题提供了一种替代的安全解决方法。如果未设置，将使用默认值 true。

JASPIC 应使用的 javax.security.auth.callback.CallbackHandler 实现的 Java 类的名称。如果未指定，将使用默认的 org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于解决某些浏览器中的缓存问题，方法是使用 Cache-Control: private 而不是默认的 Pragma: No-cache 和 Cache-control: No-cache。如果未设置，将使用默认值 false。

用于创建生成会话 ID 的 java.security.SecureRandom 实例的算法名称。如果指定了无效的算法和/或提供程序，将使用平台默认提供程序和默认算法。如果未指定，将使用 SHA1PRNG 的默认算法。如果默认算法不受支持，将使用平台默认值。要指定应使用平台默认值，请不要设置 secureRandomProvider 属性，并将此属性设置为一个空字符串。

扩展 java.security.SecureRandom 以用于生成 SSO 会话 ID 的 Java 类的名称。如果未指定，默认值为 java.security.SecureRandom。

用于创建生成 SSO 会话 ID 的 java.security.SecureRandom 实例的提供程序的名称。如果指定了无效的算法和/或提供程序，将使用平台默认提供程序和默认算法。如果未指定，将使用平台默认提供程序。

是否允许看起来像是 CORS 预检请求的请求绕过认证器，这是 CORS 规范的要求。允许的值为 never、filter 和 always。never 表示即使请求看起来像是 CORS 预检请求，也不会绕过认证。filter 表示如果请求看起来像是 CORS 预检请求，并且请求映射到的 Web 应用程序启用了 CORS 过滤器 并将其映射到 /*，则请求将绕过认证。always 表示所有看起来像是 CORS 预检请求的请求都将绕过认证。如果未设置，则默认值为 never。

用户经过认证后是否应始终使用会话？这可能会带来一些性能优势，因为随后可以使用会话来缓存经过认证的主体，从而无需在每个请求上对用户进行认证。这还有助于假定服务器将缓存经过认证用户的客户端。但是，创建和 GC 会话也会产生性能成本。有关备选解决方案，请参阅 noKeepAliveUserAgents。如果未设置，将使用 false 的默认值。

Java 8 更新 40 (JDK-8048194) 中引入的一个修复程序中断了在 Windows 2008 R2 服务器上运行的 Tomcat 的 IE SPNEGO 认证。此选项启用了一个解决方法，使 SPNEGO 认证能够继续工作。该解决方法不应影响其他配置，因此默认情况下已启用。如有必要，可以通过将此属性设置为 false 来禁用该解决方法。

如果请求是 HTTP 会话的一部分，我们是否应该缓存经过身份验证的主体？如果未指定，将使用默认值 true。

要使用的实现的 Java 类名。此项必须设置为 org.apache.catalina.authenticator.SpnegoAuthenticator。

控制在用户经过身份验证时是否存在会话时是否更改会话 ID。这是为了防止会话固定攻击。如果未设置，将使用默认值 true。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于解决某些浏览器中的缓存问题，但也将导致安全页面被代理缓存，这几乎肯定会成为安全问题。securePagesWithPragma 为浏览器缓存问题提供了一种替代的安全解决方法。如果未设置，将使用默认值 true。

JASPIC 应使用的 javax.security.auth.callback.CallbackHandler 实现的 Java 类的名称。如果未指定，将使用默认的 org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl。

用作服务的登录的 JAAS 登录配置的名称。如果未指定，则使用默认值 com.sun.security.jgss.krb5.accept。

某些客户端（不是大多数浏览器）希望服务器为连接缓存经过认证的用户信息，并且不会在每次请求中重新发送凭据。除非有 HTTP 会话可用，否则 Tomcat 不会这样做。如果应用程序创建会话或为此认证器启用了 alwaysUseSession，则将有会话可用。

作为创建会话的备选方案，此属性可用于定义禁用 HTTP 保持活动状态的用户代理。这意味着连接将仅用于单个请求，因此无法按连接缓存经过认证的用户信息。禁用 HTTP 保持活动状态将产生性能成本。

该属性应为匹配整个用户代理字符串的正则表达式，例如 .*Chrome.*。如果未指定，则不会定义正则表达式，并且不会禁用任何用户代理的 HTTP 保持活动。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于解决某些浏览器中的缓存问题，方法是使用 Cache-Control: private 而不是默认的 Pragma: No-cache 和 Cache-control: No-cache。如果未设置，将使用默认值 false。

用于创建生成会话 ID 的 java.security.SecureRandom 实例的算法名称。如果指定了无效的算法和/或提供程序，将使用平台默认提供程序和默认算法。如果未指定，将使用 SHA1PRNG 的默认算法。如果默认算法不受支持，将使用平台默认值。要指定应使用平台默认值，请不要设置 secureRandomProvider 属性，并将此属性设置为一个空字符串。

扩展 java.security.SecureRandom 以用于生成 SSO 会话 ID 的 Java 类的名称。如果未指定，默认值为 java.security.SecureRandom。

用于创建生成 SSO 会话 ID 的 java.security.SecureRandom 实例的提供程序的名称。如果指定了无效的算法和/或提供程序，将使用平台默认提供程序和默认算法。如果未指定，将使用平台默认提供程序。

控制是否将身份验证信息（远程用户和身份验证类型）作为转发/代理请求的响应头返回。当 RemoteIpValve 或 RemoteIpFilter 使用 Globals.REQUEST_FORWARDED_ATTRIBUTE 标记转发请求时，此身份验证器可以将 HttpServletRequest.getRemoteUser() 和 HttpServletRequest.getAuthType() 的值作为响应头 remote-user 和 auth-type 返回给反向代理。这很有用，例如，用于访问日志一致性或其他决策。如果未指定，则默认值为 false。

控制是否将用户的委派凭证存储在用户主体中。如果可用，则应用程序可以通过 org.apache.catalina.realm.GSS_CREDENTIAL 请求属性使用委派凭证（例如，用于对外部服务进行后续身份验证）。如果未设置，则将使用默认值 true。