Apache Tomcat 11 配置参考

标志，用于确定是否缓冲日志记录。如果设置为 false，则每次请求后都会写入访问日志。默认值：true

要使用的实现的 Java 类名。必须将其设置为 org.apache.catalina.valves.AccessLogValve 才能使用默认访问日志 valve。

与 conditionUnless 相同。此属性是为了向后兼容性而提供的。

打开条件日志记录。如果设置，只有当 ServletRequest.getAttribute() 不为 null 时，请求才会被记录。例如，如果此值设置为 important，则只有当 ServletRequest.getAttribute("important") != null 时，特定请求才会被记录。使用过滤器是为许多不同请求设置/取消设置 ServletRequest 中属性的简单方法。

打开条件日志记录。如果设置，只有当 ServletRequest.getAttribute() 为 null 时，请求才会被记录。例如，如果此值设置为 junk，则只有当 ServletRequest.getAttribute("junk") == null 时，特定请求才会被记录。使用过滤器是为许多不同请求设置/取消设置 ServletRequest 中属性的简单方法。

此 valve 创建的日志文件将放置的目录的绝对或相对路径名。如果指定相对路径，则将其解释为相对于 $CATALINA_BASE。如果未指定 directory 属性，则默认值为 "logs"（相对于 $CATALINA_BASE）。

用于写入日志文件的字符集。空字符串表示使用默认字符集。默认值：UTF-8。

允许在访问日志文件名中使用自定义时间戳。每当格式化的时间戳更改时，文件就会轮换。默认值为 .yyyy-MM-dd。如果您希望每小时轮换一次，则将此值设置为 .yyyy-MM-dd.HH。日期格式将始终使用 en_US 语言环境进行本地化。

标志，用于确定 IPv6 地址是否应以 RFC 5952 定义的规范表示形式表示。如果设置为 true，则 IPv6 地址将以规范形式写入（例如 2001:db8::1:0:0:1, ::1），否则将以完整形式表示（例如 2001:db8:0:0:1:0:0:1, 0:0:0:0:0:0:0:1）。默认值：false

用于格式化访问日志行中时间戳的语言环境。任何使用显式 SimpleDateFormat 模式 (%{xxx}t) 配置的时间戳都将以此语言环境格式化。默认情况下使用 Java 进程的默认语言环境。AccessLogValve 初始化后不支持切换语言环境。任何使用通用日志格式 (CLF) 的时间戳始终以 en_US 语言环境格式化。

轮换的访问日志在删除之前将保留的最大天数。如果未指定，将使用默认值 -1，这意味着永不删除旧文件。

日志消息缓冲区通常会被回收和重用。为了防止内存过度使用，如果缓冲区增长超过此大小，它将被丢弃。默认值为 256 个字符。此值应设置为大于典型访问日志消息的大小。

一种格式布局，用于标识要记录的请求和响应中的各种信息字段，或单词 common 或 combined 以选择标准格式。有关配置此属性的更多信息，请参阅下文。

添加到每个日志文件名开头的字符前缀。如果未指定，默认值为 "access_log"。

默认情况下，对于可轮换日志，活动的访问日志文件名将包含 fileDateFormat 中的当前时间戳。在轮换期间，文件将被关闭，并创建并使用具有下一个时间戳的新文件。当将 renameOnRotate 设置为 true 时，时间戳不再是活动日志文件名的一部分。只有在轮换期间，文件才会被关闭，然后重命名以包含时间戳。这类似于大多数日志框架在进行基于时间的轮换时的行为。默认值：false

设置为 true 以检查请求属性（通常由 RemoteIpValve 和类似组件设置）是否存在，这些属性应用于覆盖请求返回的远程地址、远程主机、服务器端口和协议的值。如果未设置属性，或者此属性设置为 false，则将使用请求中的值。如果未设置，将使用默认值 false。

此属性不再受支持。请改用连接器属性 enableLookups。

如果您将连接器上的 enableLookups 设置为 true 并希望忽略它，请在 pattern 的值中使用 %a 而不是 %h。

标志，用于确定是否应进行日志轮换。如果设置为 false，则此文件永远不会轮换，并且 fileDateFormat 将被忽略。默认值：true

添加到每个日志文件名末尾的字符后缀。如果未指定，默认值为 ""（零长度字符串），表示不添加后缀。

要使用的实现的 Java 类名。必须将其设置为 org.apache.catalina.valves.ExtendedAccessLogValve 才能使用扩展访问日志 valve。

一种格式布局，用于标识要记录的请求和响应中的各种信息字段。有关配置此属性的更多信息，请参阅下文。

要使用的实现的 Java 类名。必须将其设置为 org.apache.catalina.valves.JsonAccessLogValve 才能使用扩展访问日志 valve。

要使用的实现的 Java 类名。必须将其设置为 org.apache.catalina.valves.RemoteAddrValve。

一个正则表达式（使用 java.util.regex），远程客户端的 IP 地址将与其进行比较。如果指定此属性，则远程地址必须匹配才能接受此请求。如果未指定此属性，则除非远程地址匹配 deny 模式，否则所有请求都将被接受。

一个正则表达式（使用 java.util.regex），远程客户端的 IP 地址将与其进行比较。如果指定此属性，则远程地址不得匹配才能接受此请求。如果未指定此属性，则请求的接受仅由 allow 属性控制。

拒绝请求时使用的 HTTP 响应状态码。默认值为 403。例如，可以将其设置为值 404。

将服务器连接器端口附加到客户端 IP 地址，用分号 (";") 分隔。如果此设置为 true，则配置的 allow 和 deny 表达式将与 ADDRESS;PORT 进行比较，其中 ADDRESS 是客户端 IP 地址，PORT 是接收请求的 Tomcat 连接器端口。默认值为 false。

当请求应被拒绝时，不拒绝，而是设置一个无效的 authentication 标头。这仅在上下文设置了属性 preemptiveAuthentication="true" 时有效。已存在的 authentication 标头不会被覆盖。实际上，即使应用程序没有配置安全约束，这也会触发认证而不是拒绝。

这可以与 addConnectorPort 结合使用，以根据客户端和用于访问应用程序的连接器触发认证。

使用连接对等地址而不是客户端 IP 地址。如果 Tomcat 前面使用了反向代理，并结合 AJP 协议或 HTTP 协议加上 RemoteIp(Valve|Filter)，则它们将有所不同。

要使用的实现的 Java 类名。必须将其设置为 org.apache.catalina.valves.RemoteHostValve。

一个正则表达式（使用 java.util.regex），远程客户端的主机名将与其进行比较。如果指定此属性，则远程主机名必须匹配才能接受此请求。如果未指定此属性，则除非远程主机名匹配 deny 模式，否则所有请求都将被接受。

一个正则表达式（使用 java.util.regex），远程客户端的主机名将与其进行比较。如果指定此属性，则远程主机名不得匹配才能接受此请求。如果未指定此属性，则请求的接受仅由 allow 属性控制。

拒绝请求时使用的 HTTP 响应状态码。默认值为 403。例如，可以将其设置为值 404。

将服务器连接器端口附加到客户端主机名，用分号 (";") 分隔。如果此设置为 true，则配置的 allow 和 deny 表达式将与 HOSTNAME;PORT 进行比较，其中 HOSTNAME 是客户端主机名，PORT 是接收请求的 Tomcat 连接器端口。默认值为 false。

当请求应被拒绝时，不拒绝，而是设置一个无效的 authentication 标头。这仅在上下文设置了属性 preemptiveAuthentication="true" 时有效。已存在的 authentication 标头不会被覆盖。实际上，即使应用程序没有配置安全约束，这也会触发认证而不是拒绝。

这可以与 addConnectorPort 结合使用，以根据客户端和用于访问应用程序的连接器触发认证。

要使用的实现的 Java 类名。必须将其设置为 org.apache.catalina.valves.RemoteCIDRValve。

一个逗号分隔的 IPv4 或 IPv6 网络掩码或地址列表，远程客户端的 IP 地址将与其进行匹配。如果指定此属性，则远程地址必须匹配才能接受此请求。如果未指定此属性，则除非远程 IP 匹配 deny 属性中的网络掩码，否则所有请求都将被接受。

一个逗号分隔的 IPv4 或 IPv6 网络掩码或地址列表，远程客户端的 IP 地址将与其进行匹配。如果指定此属性，则远程地址不得匹配才能接受此请求。如果未指定此属性，则请求的接受仅由 accept 属性控制。

拒绝请求时使用的 HTTP 响应状态码。默认值为 403。例如，可以将其设置为值 404。

将服务器连接器端口附加到客户端 IP 地址，用分号 (";") 分隔。如果此设置为 true，则配置的 allow 和 deny 表达式将与 ADDRESS;PORT 进行比较，其中 ADDRESS 是客户端 IP 地址，PORT 是接收请求的 Tomcat 连接器端口。默认值为 false。

当请求应被拒绝时，不拒绝，而是设置一个无效的 authentication 标头。这仅在上下文设置了属性 preemptiveAuthentication="true" 时有效。已存在的 authentication 标头不会被覆盖。实际上，即使应用程序没有配置安全约束，这也会触发认证而不是拒绝。

这可以与 addConnectorPort 结合使用，以根据客户端和用于访问应用程序的连接器触发认证。

使用连接对等地址而不是客户端 IP 地址。如果 Tomcat 前面使用了反向代理，并结合 AJP 协议或 HTTP 协议加上 RemoteIp(Valve|Filter)，则它们将有所不同。

要使用的实现的 Java 类名。必须将其设置为 org.apache.catalina.valves.LoadBalancerDrainingValve。

允许设置自定义重定向代码，用于当客户端被重定向以便由负载均衡器重新均衡时。默认值为 307 TEMPORARY_REDIRECT。

与 ignoreCookieValue 一起使用时，客户端可以提供此 cookie（以及伴随的值），这将导致此 Valve 不执行任何操作。这将允许您在重新启用禁用节点之前探测它，以确保它按预期工作。

与 ignoreCookieName 一起使用时，客户端可以提供一个 cookie（以及伴随的值），这将导致此 Valve 不执行任何操作。这将允许您在重新启用禁用节点之前探测它，以确保它按预期工作。

要使用的实现的 Java 类名。必须将其设置为 org.apache.catalina.valves.RemoteIpValve。

此 valve 读取的 HTTP 标头名称，其中包含从请求客户端开始的已遍历 IP 地址列表。如果未指定，则使用默认值 x-forwarded-for。

正则表达式（使用 java.util.regex），代理的 IP 地址必须匹配才能被视为内部代理。出现在 remoteIpHeader 中的内部代理将被信任，并且不会出现在 proxiesHeader 值中。如果未指定，将使用默认值 10\.\d{1,3}\.\d{1,3}\.\d{1,3}|192\.168\.\d{1,3}\.\d{1,3}|169\.254\.\d{1,3}\.\d{1,3}|127\.\d{1,3}\.\d{1,3}\.\d{1,3}|100\.6[4-9]{1}\.\d{1,3}\.\d{1,3}|100\.[7-9]{1}\d{1}\.\d{1,3}\.\d{1,3}|100\.1[0-1]{1}\d{1}\.\d{1,3}\.\d{1,3}|100\.12[0-7]{1}\.\d{1,3}\.\d{1,3}|172\.1[6-9]{1}\.\d{1,3}\.\d{1,3}|172\.2[0-9]{1}\.\d{1,3}\.\d{1,3}|172\.3[0-1]{1}\.\d{1,3}\.\d{1,3}|0:0:0:0:0:0:0:1|::1|fe[89ab]\p{XDigit}:.*|"f[cd]\p{XDigit}{2}+:.* 。

此 valve 创建的 HTTP 标头名称，用于保存传入 remoteIpHeader 中已处理的代理列表。如果未指定，则使用默认值 x-forwarded-by。

设置为 true 以设置 AccessLog 实现使用的请求属性，以覆盖请求返回的远程地址、远程主机、服务器端口和协议的值。请求属性还用于启用转发的远程地址在管理器 Web 应用程序的状态页面上显示。如果未设置，将使用默认值 true。

正则表达式（使用 java.util.regex），代理的 IP 地址必须匹配才能被视为受信任代理。出现在 remoteIpHeader 中的受信任代理将被信任，并会出现在 proxiesHeader 值中。如果未指定，则不会信任任何代理。

此 valve 读取的 HTTP 标头名称，其中包含客户端连接到代理时使用的协议。如果未指定，则使用默认值 X-Forwarded-Proto。

此 valve 读取的 HTTP 标头名称，其中包含客户端连接到代理时使用的主机。如果未指定，则使用默认值 null。

此 valve 读取的 HTTP 标头名称，其中包含客户端连接到代理时使用的端口。如果未指定，则使用默认值 null。

protocolHeader 的值，表示它是 HTTPS 请求。如果未指定，则使用默认值 https。

当 protocolHeader 指示 http 协议且不存在 portHeader 时，ServletRequest.getServerPort() 返回的值。如果未指定，则使用默认值 80。

当 protocolHeader 指示 https 协议且不存在 portHeader 时，ServletRequest.getServerPort() 返回的值。如果未指定，则使用默认值 443。

如果为 true，则 ServletRequest.getLocalHost() 和 ServletRequest.getServerHost() 返回的值将由此 valve 修改。如果未指定，则使用默认值 false。

如果为 true，则 ServletRequest.getLocalPort() 和 ServletRequest.getServerPort() 返回的值将由此 valve 修改。如果未指定，则使用默认值 false。

要使用的实现的 Java 类名。必须将其设置为 org.apache.catalina.valves.SSLValve。

允许为 ssl_client_cert 标头设置自定义名称。如果未指定，则使用默认值 ssl_client_cert。

允许为 ssl_client_escaped_cert 标头设置自定义名称。如果未指定，则使用默认值 ssl_client_escaped_cert。

此标头对于 Nginx 代理很有用，并且优先于 ssl_client_cert 标头。

允许为 ssl_cipher 标头设置自定义名称。如果未指定，则使用默认值 ssl_cipher。

允许为 ssl_session_id 标头设置自定义名称。如果未指定，则使用默认值 ssl_session_id。

允许为 ssl_cipher_usekeysize 标头设置自定义名称。如果未指定，则使用默认值 ssl_cipher_usekeysize。

是否允许看起来是 CORS 预检请求的请求绕过认证器，这根据 CORS 规范的要求。允许的值为 never、filter 和 always。never 表示即使请求看起来是 CORS 预检请求，也永远不会绕过认证。filter 表示如果请求看起来是 CORS 预检请求；它映射到已启用 CORS 过滤器的 Web 应用程序；并且请求与 CORS 过滤器映射器的 URLPatterns 匹配，则请求将绕过认证。always 表示所有看起来是 CORS 预检请求的请求都将绕过认证。如果未设置，默认值为 never。

一旦用户通过认证，是否始终使用会话？这可能会提供一些性能优势，因为会话可以用于缓存已认证的主体，从而无需在每个请求中通过 Realm 认证用户。这可能有助于 BASIC 认证与 JNDIRealm 或 DataSourceRealms 结合使用。但是，也会产生创建和垃圾回收会话的性能开销。如果未设置，将使用默认值 false。

如果请求是 HTTP 会话的一部分，我们是否应该缓存已认证的主体？如果未指定，将使用默认值 true。

控制在用户认证时，如果会话存在，是否更改会话 ID。这是为了防止会话固定攻击。如果未设置，将使用默认值 true。

控制 WWW-Authenticate HTTP 标头是否包含 charset 认证参数，符合 RFC 7617。只允许的选项是 null、空字符串和 UTF-8。如果指定 UTF-8，则 charset 认证参数将以此值发送，并且提供的用户名和可选密码将使用 UTF-8 从字节转换为字符。否则，将不发送 charset 认证参数，并且提供的用户名和可选密码将使用 ISO-8859-1 从字节转换为字符。默认值为 UTF-8

要使用的实现的 Java 类名。必须将其设置为 org.apache.catalina.authenticator.BasicAuthenticator。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于解决某些浏览器中的缓存问题，但也会导致受保护页面被代理缓存，这几乎肯定会成为安全问题。securePagesWithPragma 为浏览器缓存问题提供了另一种安全的工作方案。如果未设置，将使用默认值 true。

JASPIC 应使用的 javax.security.auth.callback.CallbackHandler 实现的 Java 类名。如果未指定，将使用默认的 org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于通过使用 Cache-Control: private 而不是默认的 Pragma: No-cache 和 Cache-control: No-cache 来解决某些浏览器中的缓存问题。如果未设置，将使用默认值 false。

用于创建生成会话 ID 的 java.security.SecureRandom 实例的算法名称。如果指定了无效的算法和/或提供者，将使用平台默认提供者和默认算法。如果未指定，将使用 SHA1PRNG 默认算法。如果不支持默认算法，将使用平台默认算法。要指定使用平台默认算法，请勿设置 secureRandomProvider 属性，并将此属性设置为空字符串。

用于生成 SSO 会话 ID 的扩展 java.security.SecureRandom 的 Java 类名。如果未指定，默认值为 java.security.SecureRandom。

用于创建生成 SSO 会话 ID 的 java.security.SecureRandom 实例的提供者名称。如果指定了无效的算法和/或提供者，将使用平台默认提供者和默认算法。如果未指定，将使用平台默认提供者。

控制认证信息（远程用户和认证类型）是否作为转发/代理请求的响应头返回。当 RemoteIpValve 或 RemoteIpFilter 使用 Globals.REQUEST_FORWARDED_ATTRIBUTE 标记转发请求时，此认证器可以将 HttpServletRequest.getRemoteUser() 和 HttpServletRequest.getAuthType() 的值作为响应头 remote-user 和 auth-type 返回给反向代理。这对于访问日志一致性或其他决策很有用。如果未指定，默认值为 false。

用于认证过程的摘要算法的逗号分隔列表。算法可以使用 Java 标准名称或 RFC 7616 中使用的名称指定。如果未指定，将使用默认值 SHA-256,MD5。

是否允许看起来是 CORS 预检请求的请求绕过认证器，这根据 CORS 规范的要求。允许的值为 never、filter 和 always。never 表示即使请求看起来是 CORS 预检请求，也永远不会绕过认证。filter 表示如果请求看起来是 CORS 预检请求；它映射到已启用 CORS 过滤器的 Web 应用程序；并且请求与 CORS 过滤器映射器的 URLPatterns 匹配，则请求将绕过认证。always 表示所有看起来是 CORS 预检请求的请求都将绕过认证。如果未设置，默认值为 never。

一旦用户通过认证，是否始终使用会话？这可能会提供一些性能优势，因为会话可以用于缓存已认证的主体，从而无需在每个请求中通过 Realm 认证用户。这可能有助于 BASIC 认证与 JNDIRealm 或 DataSourceRealms 结合使用。但是，也会产生创建和垃圾回收会话的性能开销。如果未设置，将使用默认值 false。

如果请求是 HTTP 会话的一部分，我们是否应该缓存已认证的主体？如果未指定，将使用默认值 false。

控制在用户认证时，如果会话存在，是否更改会话 ID。这是为了防止会话固定攻击。如果未设置，将使用默认值 true。

要使用的实现的 Java 类名。必须将其设置为 org.apache.catalina.authenticator.DigestAuthenticator。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于解决某些浏览器中的缓存问题，但也会导致受保护页面被代理缓存，这几乎肯定会成为安全问题。securePagesWithPragma 为浏览器缓存问题提供了另一种安全的工作方案。如果未设置，将使用默认值 true。

JASPIC 应使用的 javax.security.auth.callback.CallbackHandler 实现的 Java 类名。如果未指定，将使用默认的 org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl。

摘要认证使用的密钥。如果未设置，则生成一个安全的随机值。通常只有在需要保持密钥值在服务器重启和/或集群之间恒定时才应设置此值。

为了防止重放攻击，DIGEST 认证器会跟踪服务器随机数和随机数计数。此属性控制该缓存的大小。如果未指定，默认值为 1000。

客户端请求可能乱序处理，这意味着随机数计数可能乱序处理。为了防止在随机数计数乱序呈现时发生认证失败，认证器会跟踪一个随机数计数窗口。此属性控制该窗口的大小。如果未指定，默认值为 100。

服务器生成的随机数在认证中被视为有效的时间（以毫秒为单位）。如果未指定，默认值为 300000（5 分钟）。

摘要认证使用的不透明服务器字符串。如果未设置，则生成一个随机值。通常只有在需要保持不透明值在服务器重启和/或集群之间恒定时才应设置此值。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于通过使用 Cache-Control: private 而不是默认的 Pragma: No-cache 和 Cache-control: No-cache 来解决某些浏览器中的缓存问题。如果未设置，将使用默认值 false。

用于创建生成会话 ID 的 java.security.SecureRandom 实例的算法名称。如果指定了无效的算法和/或提供者，将使用平台默认提供者和默认算法。如果未指定，将使用 SHA1PRNG 默认算法。如果不支持默认算法，将使用平台默认算法。要指定使用平台默认算法，请勿设置 secureRandomProvider 属性，并将此属性设置为空字符串。

用于生成 SSO 会话 ID 的扩展 java.security.SecureRandom 的 Java 类名。如果未指定，默认值为 java.security.SecureRandom。

用于创建生成 SSO 会话 ID 的 java.security.SecureRandom 实例的提供者名称。如果指定了无效的算法和/或提供者，将使用平台默认提供者和默认算法。如果未指定，将使用平台默认提供者。

控制认证信息（远程用户和认证类型）是否作为转发/代理请求的响应头返回。当 RemoteIpValve 或 RemoteIpFilter 使用 Globals.REQUEST_FORWARDED_ATTRIBUTE 标记转发请求时，此认证器可以将 HttpServletRequest.getRemoteUser() 和 HttpServletRequest.getAuthType() 的值作为响应头 remote-user 和 auth-type 返回给反向代理。这对于访问日志一致性或其他决策很有用。如果未指定，默认值为 false。

是否应根据 RFC2617 的要求验证 URI？如果未指定，默认值为 true。通常只有当 Tomcat 位于反向代理后面且代理正在修改传递给 Tomcat 的 URI，导致 DIGEST 认证始终失败时才应设置此值。

是否允许看起来是 CORS 预检请求的请求绕过认证器，这根据 CORS 规范的要求。允许的值为 never、filter 和 always。never 表示即使请求看起来是 CORS 预检请求，也永远不会绕过认证。filter 表示如果请求看起来是 CORS 预检请求；它映射到已启用 CORS 过滤器的 Web 应用程序；并且请求与 CORS 过滤器映射器的 URLPatterns 匹配，则请求将绕过认证。always 表示所有看起来是 CORS 预检请求的请求都将绕过认证。如果未设置，默认值为 never。

如果认证过程创建了一个会话，这是认证过程中会话的最大超时时间（以秒为单位）。一旦认证完成，将应用默认的会话超时。在认证过程开始之前存在的会话将在此过程中保持其原始会话超时。如果未设置，将使用默认值 120 秒。

控制在用户认证时，如果会话存在，是否更改会话 ID。这是为了防止会话固定攻击。如果未设置，将使用默认值 true。

用于从请求中读取用户名和密码参数的字符编码。如果未设置，将使用请求正文的编码。

要使用的实现的 Java 类名。必须将其设置为 org.apache.catalina.authenticator.FormAuthenticator。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于解决某些浏览器中的缓存问题，但也会导致受保护页面被代理缓存，这几乎肯定会成为安全问题。securePagesWithPragma 为浏览器缓存问题提供了另一种安全的工作方案。如果未设置，将使用默认值 true。

JASPIC 应使用的 javax.security.auth.callback.CallbackHandler 实现的 Java 类名。如果未指定，将使用默认的 org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl。

控制 FORM 认证过程的行为，如果过程被误用，例如直接请求登录页面或登录延迟过长导致会话过期。如果设置了此属性，当登录表单提交了有效凭据时，Tomcat 将把用户重定向到指定的登录页面，而不是返回错误响应码。为了处理登录，登录页面必须是一个受保护的资源（即需要认证的资源）。如果登录页面不需要认证，则用户将不会登录，并且当他们访问受保护页面时将再次提示输入凭据。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于通过使用 Cache-Control: private 而不是默认的 Pragma: No-cache 和 Cache-control: No-cache 来解决某些浏览器中的缓存问题。如果未设置，将使用默认值 false。

用于创建生成会话 ID 的 java.security.SecureRandom 实例的算法名称。如果指定了无效的算法和/或提供者，将使用平台默认提供者和默认算法。如果未指定，将使用 SHA1PRNG 默认算法。如果不支持默认算法，将使用平台默认算法。要指定使用平台默认算法，请勿设置 secureRandomProvider 属性，并将此属性设置为空字符串。

用于生成 SSO 会话 ID 的扩展 java.security.SecureRandom 的 Java 类名。如果未指定，默认值为 java.security.SecureRandom。

用于创建生成 SSO 会话 ID 的 java.security.SecureRandom 实例的提供者名称。如果指定了无效的算法和/或提供者，将使用平台默认提供者和默认算法。如果未指定，将使用平台默认提供者。

控制认证信息（远程用户和认证类型）是否作为转发/代理请求的响应头返回。当 RemoteIpValve 或 RemoteIpFilter 使用 Globals.REQUEST_FORWARDED_ATTRIBUTE 标记转发请求时，此认证器可以将 HttpServletRequest.getRemoteUser() 和 HttpServletRequest.getAuthType() 的值作为响应头 remote-user 和 auth-type 返回给反向代理。这对于访问日志一致性或其他决策很有用。如果未指定，默认值为 false。

是否允许看起来是 CORS 预检请求的请求绕过认证器，这根据 CORS 规范的要求。允许的值为 never、filter 和 always。never 表示即使请求看起来是 CORS 预检请求，也永远不会绕过认证。filter 表示如果请求看起来是 CORS 预检请求；它映射到已启用 CORS 过滤器的 Web 应用程序；并且请求与 CORS 过滤器映射器的 URLPatterns 匹配，则请求将绕过认证。always 表示所有看起来是 CORS 预检请求的请求都将绕过认证。如果未设置，默认值为 never。

如果请求是 HTTP 会话的一部分，我们是否应该缓存已认证的主体？如果未指定，将使用默认值 true。

要使用的实现的 Java 类名。必须将其设置为 org.apache.catalina.authenticator.SSLAuthenticator。

控制在用户认证时，如果会话存在，是否更改会话 ID。这是为了防止会话固定攻击。如果未设置，将使用默认值 true。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于解决某些浏览器中的缓存问题，但也会导致受保护页面被代理缓存，这几乎肯定会成为安全问题。securePagesWithPragma 为浏览器缓存问题提供了另一种安全的工作方案。如果未设置，将使用默认值 true。

JASPIC 应使用的 javax.security.auth.callback.CallbackHandler 实现的 Java 类名。如果未指定，将使用默认的 org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于通过使用 Cache-Control: private 而不是默认的 Pragma: No-cache 和 Cache-control: No-cache 来解决某些浏览器中的缓存问题。如果未设置，将使用默认值 false。

用于创建生成会话 ID 的 java.security.SecureRandom 实例的算法名称。如果指定了无效的算法和/或提供者，将使用平台默认提供者和默认算法。如果未指定，将使用 SHA1PRNG 默认算法。如果不支持默认算法，将使用平台默认算法。要指定使用平台默认算法，请勿设置 secureRandomProvider 属性，并将此属性设置为空字符串。

用于生成 SSO 会话 ID 的扩展 java.security.SecureRandom 的 Java 类名。如果未指定，默认值为 java.security.SecureRandom。

用于创建生成 SSO 会话 ID 的 java.security.SecureRandom 实例的提供者名称。如果指定了无效的算法和/或提供者，将使用平台默认提供者和默认算法。如果未指定，将使用平台默认提供者。

是否允许看起来是 CORS 预检请求的请求绕过认证器，这根据 CORS 规范的要求。允许的值为 never、filter 和 always。never 表示即使请求看起来是 CORS 预检请求，也永远不会绕过认证。filter 表示如果请求看起来是 CORS 预检请求，并且请求映射到的 Web 应用程序已启用 CORS 过滤器；并且请求与 CORS 过滤器映射器的 URLPatterns 匹配，则请求将绕过认证。always 表示所有看起来是 CORS 预检请求的请求都将绕过认证。如果未设置，默认值为 never。

一旦用户通过认证，是否始终使用会话？这可能会提供一些性能优势，因为会话可以用于缓存已认证的主体，从而无需在每个请求中认证用户。这也有助于假定服务器将缓存已认证用户的客户端。但是，也会产生创建和垃圾回收会话的性能开销。有关替代解决方案，请参阅 noKeepAliveUserAgents。如果未设置，默认值为 false。

Java 8 update 40 (JDK-8048194) 及更高版本中引入的一个修复破坏了 Tomcat 在 Windows 2008 R2 服务器上运行时的 IE SPNEGO 认证。此选项启用了一个解决方法，允许 SPNEGO 认证继续工作。该解决方法不应影响其他配置，因此默认启用。如有必要，可以通过将此属性设置为 false 来禁用该解决方法。

如果请求是 HTTP 会话的一部分，我们是否应该缓存已认证的主体？如果未指定，将使用默认值 true。

要使用的实现的 Java 类名。必须将其设置为 org.apache.catalina.authenticator.SpnegoAuthenticator。

控制在用户认证时，如果会话存在，是否更改会话 ID。这是为了防止会话固定攻击。如果未设置，将使用默认值 true。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于解决某些浏览器中的缓存问题，但也会导致受保护页面被代理缓存，这几乎肯定会成为安全问题。securePagesWithPragma 为浏览器缓存问题提供了另一种安全的工作方案。如果未设置，将使用默认值 true。

JASPIC 应使用的 javax.security.auth.callback.CallbackHandler 实现的 Java 类名。如果未指定，将使用默认的 org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl。

用于以服务身份登录的 JAAS 登录配置名称。如果未指定，则使用默认值 com.sun.security.jgss.krb5.accept。

某些客户端（而非大多数浏览器）期望服务器为连接缓存已认证的用户信息，并且不会在每次请求时重新发送凭据。除非 HTTP 会话可用，否则 Tomcat 不会这样做。如果应用程序创建了会话，或者为此 Authenticator 启用了 alwaysUseSession，则会话将可用。

作为创建会话的替代方案，此属性可用于定义禁用 HTTP keep-alive 的用户代理。这意味着连接将仅用于单个请求，因此无法按连接缓存已认证的用户信息。禁用 HTTP keep-alive 会带来性能开销。

该属性应为匹配整个用户代理字符串的正则表达式，例如 .*Chrome.*。如果未指定，则不会定义正则表达式，并且不会禁用任何用户代理的 HTTP keep-alive。

控制受安全约束保护的页面的缓存。将其设置为 false 可能有助于通过使用 Cache-Control: private 而不是默认的 Pragma: No-cache 和 Cache-control: No-cache 来解决某些浏览器中的缓存问题。如果未设置，将使用默认值 false。

用于创建生成会话 ID 的 java.security.SecureRandom 实例的算法名称。如果指定了无效的算法和/或提供者，将使用平台默认提供者和默认算法。如果未指定，将使用 SHA1PRNG 默认算法。如果不支持默认算法，将使用平台默认算法。要指定使用平台默认算法，请勿设置 secureRandomProvider 属性，并将此属性设置为空字符串。

用于生成 SSO 会话 ID 的扩展 java.security.SecureRandom 的 Java 类名。如果未指定，默认值为 java.security.SecureRandom。

用于创建生成 SSO 会话 ID 的 java.security.SecureRandom 实例的提供者名称。如果指定了无效的算法和/或提供者，将使用平台默认提供者和默认算法。如果未指定，将使用平台默认提供者。

控制认证信息（远程用户和认证类型）是否作为转发/代理请求的响应头返回。当 RemoteIpValve 或 RemoteIpFilter 使用 Globals.REQUEST_FORWARDED_ATTRIBUTE 标记转发请求时，此认证器可以将 HttpServletRequest.getRemoteUser() 和 HttpServletRequest.getAuthType() 的值作为响应头 remote-user 和 auth-type 返回给反向代理。这对于访问日志一致性或其他决策很有用。如果未指定，默认值为 false。

控制用户的委派凭据是否存储在用户主体中。如果可用，委派凭据将通过 org.apache.catalina.realm.GSS_CREDENTIAL 请求属性提供给应用程序（例如，用于对外部服务的后续认证）。如果未设置，将使用默认值 true。