最近關(guān)于Tomcat AJP協(xié)議漏洞的問題比較火爆又跛,相信好多人都不太了解AJP是怎么一回事傲武,在這里我也是在網(wǎng)上搜集了一些資料币厕,在這里匯總一下
Tomcat最主要的功能是提供Servlet/JSP容器甘畅,盡管它也可以作為獨(dú)立的Java Web服務(wù)器埂蕊,它在對靜態(tài)資源(如HTML文件或圖像文件)的處理速度,以及提供的Web服務(wù)器管理功能方面都不如其他專業(yè)的HTTP服務(wù)器疏唾,如IIS和Apache服務(wù)器蓄氧。
因此在實(shí)際應(yīng)用中,常常把Tomcat與其他HTTP服務(wù)器集成槐脏。對于不支持Servlet/JSP的HTTP服務(wù)器喉童,可以通過Tomcat服務(wù)器來運(yùn)行Servlet/JSP組件。
當(dāng)Tomcat與其他HTTP服務(wù)器集成時顿天,Tomcat服務(wù)器的工作模式通常為進(jìn)程外的Servlet容器堂氯,Tomcat服務(wù)器與其他HTTP服務(wù)器之間通過專門的插件來通信。關(guān)于Tomcat服務(wù)器的工作模式的概念可以參考本書1.4節(jié)牌废。
本章首先討論Tomcat與HTTP服務(wù)器集成的一般原理咽白,然后介紹Tomcat與Apache以及IIS集成的詳細(xì)步驟。
一鸟缕、 Tomcat與HTTP服務(wù)器集成的原理
Tomcat服務(wù)器通過Connector連接器組件與客戶程序建立連接晶框,Connector組件負(fù)責(zé)接收客戶的請求,以及把Tomcat服務(wù)器的響應(yīng)結(jié)果發(fā)送給客戶懂从。默認(rèn)情況下授段,Tomcat在server.xml中配置了兩種連接器:
<!-- Define a non-SSL Coyote HTTP/1.1
Connector on port 8080 -->
<Connector port="8080"
maxThreads="150"
minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false"
redirectPort="8443"
acceptCount="100"
debug="0"
connectionTimeout="20000"
disableUploadTimeout="true" />
<!-- Define a Coyote/JK2 AJP 1.3
Connector on port 8009 -->
<Connector port="8009"
enableLookups="false"
redirectPort="8443" debug="0"
protocol="AJP/1.3" />
第一個連接器監(jiān)聽8080端口,負(fù)責(zé)建立HTTP連接莫绣。在通過瀏覽器訪問Tomcat服務(wù)器的Web應(yīng)用時畴蒲,使用的就是這個連接器。
第二個連接器監(jiān)聽8009端口对室,負(fù)責(zé)和其他的HTTP服務(wù)器建立連接。在把Tomcat與其他HTTP服務(wù)器集成時咖祭,就需要用到這個連接器掩宜。
Web客戶訪問Tomcat服務(wù)器上JSP組件的兩種方式如圖所示。
圖22-1 Web客戶訪問Tomcat服務(wù)器上的JSP組件的兩種方式
在圖22-1中么翰,Web客戶1直接訪問Tomcat服務(wù)器上的JSP組件牺汤,他訪問的URL為http://localhost:8080/index.jsp。Web客戶2通過HTTP服務(wù)器訪問Tomcat服務(wù)器上的JSP組件浩嫌。假定HTTP服務(wù)器使用的HTTP端口為默認(rèn)的80端口檐迟,那么Web客戶2訪問的URL為http://localhost:80/index.jsp 或者 http://localhost/index.jsp补胚。
下面,介紹Tomcat與HTTP服務(wù)器之間是如何通信的追迟。
二溶其、JK插件
Tomcat提供了專門的JK插件來負(fù)責(zé)Tomcat和HTTP服務(wù)器的通信。應(yīng)該把JK插件安置在對方的HTTP服務(wù)器上敦间。當(dāng)HTTP服務(wù)器接收到客戶請求時瓶逃,它會通過JK插件來過濾URL,JK插件根據(jù)預(yù)先配置好的URL映射信息廓块,決定是否要把客戶請求轉(zhuǎn)發(fā)給Tomcat服務(wù)器處理厢绝。
假定在預(yù)先配置好的URL映射信息中,所有"/*.jsp"形式的URL都由Tomcat服務(wù)器來處理带猴,那么在圖22-1的例子中昔汉,JK插件將把客戶請求轉(zhuǎn)發(fā)給Tomcat服務(wù)器,Tomcat服務(wù)器于是運(yùn)行index.jsp拴清,然后把響應(yīng)結(jié)果傳給HTTP服務(wù)器挤庇,HTTP服務(wù)器再把響應(yīng)結(jié)果傳給Web客戶2。
對于不同的HTTP服務(wù)器贷掖,Tomcat提供了不同的JK插件的實(shí)現(xiàn)模塊嫡秕。本章將用到以下JK插件:
與Windows下的Apache HTTP服務(wù)器集成:mod_jk_2.0.46.dll
與Linux(RedHet)下的Apache HTTP服務(wù)器集成:mod_jk.so-ap2.0.46-rh72..46-rh72
與IIS服務(wù)器集成:isapi_redirect.dll
總結(jié)理解(重要)
? 關(guān)于這個協(xié)議,一直不太明白苹威,網(wǎng)上的博客講的也都是千篇一律昆咽。 都說ajp協(xié)議是tomcat為了動靜資源處理分離時,通過該協(xié)議可以將css牙甫、js等靜態(tài)資源請求轉(zhuǎn)發(fā)到Apache的http服務(wù)器處理掷酗,提高并發(fā)量。但是在優(yōu)化tomcat時窟哺,沒有用到Apache服務(wù)器泻轰,則需要將其禁用。 那么問題來了且轨,如果前端用的是Nginx(配置的端口是80)直接轉(zhuǎn)發(fā)到tomcat8080端口浮声,并沒有通過ajp協(xié)議的8009端口吧,那么禁用掉這個配置為何能提高tomcat性能呢旋奢?
?
? ajp13是一個二進(jìn)制的TCP傳輸協(xié)議泳挥,相比HTTP這種純文本的協(xié)議來說,效率和性能更高至朗,也做了很多優(yōu)化屉符。顯然,瀏覽器并不能直接支持AJP13協(xié)議,只支持HTTP協(xié)議矗钟。所以實(shí)際情況是唆香,通過Apache的proxy_ajp模塊進(jìn)行反向代理,暴露成http協(xié)議給客戶端訪問吨艇。所以這么來看實(shí)際跟動靜分離沒一毛錢關(guān)系躬它,你如果沒做動靜分離的設(shè)置,那么單純反向代理AJP13協(xié)議也沒太大的意義秸应。
? 其他支持AJP協(xié)議的代理服務(wù)器當(dāng)然也可以用這種做法虑凛。但是實(shí)際情況是,支持AJP代理的服務(wù)器非常少软啼,比如目前很火爆的Nginx就沒這個模塊桑谍。因此tomcat的配置大部分都是關(guān)閉AJP協(xié)議端口的,因為除了Apache之外別的http server幾乎都不能反代AJP13協(xié)議祸挪,自然就沒太大用處了锣披。
原文參考:
