Apache Tomcat 10 設定參考

旗標，用於確定是否會緩衝記錄。如果設定為false，則存取記錄會在每個要求後寫入。預設值：true

要使用的實作的 Java 類別名稱。必須設定為 org.apache.catalina.valves.AccessLogValve 才能使用預設的存取記錄閥門。

與 conditionUnless 相同。提供此屬性是為了向後相容性。

開啟條件記錄。如果設定，只有在 ServletRequest.getAttribute() 不為 null 時才會記錄要求。例如，如果此值設定為 important，則只有在 ServletRequest.getAttribute("important") != null 時才會記錄特定要求。使用 Filter 是在許多不同要求中設定/取消設定 ServletRequest 中屬性的簡易方法。

開啟條件記錄。如果設定，只有在 ServletRequest.getAttribute() 為 null 時才會記錄要求。例如，如果此值設定為 junk，則只有在 ServletRequest.getAttribute("junk") == null 時才會記錄特定要求。使用 Filter 是在許多不同要求中設定/取消設定 ServletRequest 中屬性的簡易方法。

此閥門建立的日誌檔所放置的目錄的絕對或相對路徑。如果指定相對路徑，它會被解釋為相對於 $CATALINA_BASE。如果未指定目錄屬性，預設值為「logs」（相對於 $CATALINA_BASE）。

用於寫入日誌檔的字元集。空字串表示使用預設字元集。預設值：UTF-8。

允許在存取記錄檔名稱中自訂時間戳記。每當格式化的時間戳記變更時，就會輪替檔案。預設值為 .yyyy-MM-dd。如果您希望每小時輪替，請將此值設定為 .yyyy-MM-dd.HH。日期格式會使用 en_US 地區設定進行在地化。

旗標，用於判斷 IPv6 位址是否應以 RFC 5952 定義的標準表示格式表示。如果設定為 true，則 IPv6 位址會以標準格式寫入（例如 2001:db8::1:0:0:1、::1），否則會以完整格式表示（例如 2001:db8:0:0:1:0:0:1、0:0:0:0:0:0:0:1）。預設值：false

用於在存取記錄行中格式化時間戳記的地區設定。使用明確的 SimpleDateFormat 模式（%{xxx}t）設定的任何時間戳記都會在此地區設定中格式化。預設會使用 Java 程序的預設地區設定。不支援在 AccessLogValve 初始化後切換地區設定。使用一般記錄格式（CLF）的任何時間戳記都會在 en_US 地區設定中格式化。

輪替存取記錄所保留的最大天數，超過後會刪除。如果未指定，會使用預設值 -1，表示永遠不刪除舊檔案。

記錄訊息緩衝區通常會回收再利用。為避免過度使用記憶體，如果緩衝區成長超過此大小，它將會被捨棄。預設值為 256 個字元。這應該設定為大於一般存取記錄訊息的大小。

一個格式化配置，用於識別要記錄的請求和回應的各種資訊欄位，或字詞 common 或 combined 以選擇標準格式。請參閱下方以取得更多有關如何設定此屬性的資訊。

新增至每個記錄檔名稱開頭的前置字元。如果未指定，預設值為「access_log」。

對於可旋轉記錄檔，預設值是活動存取記錄檔名稱會包含 fileDateFormat 中的目前時間戳記。在旋轉期間，檔案會關閉，並建立一個名稱中具有下一個時間戳記的新檔案並使用。將 renameOnRotate 設定為 true 時，時間戳記不再是活動記錄檔名稱的一部分。只有在旋轉期間，檔案才會關閉，然後重新命名以包含時間戳記。這類似於大多數記錄架構在執行基於時間的旋轉時的行為。預設值：false

設定為 true 以檢查請求屬性的存在（通常由 RemoteIpValve 和類似元件設定），這些屬性應使用來覆寫請求傳回的遠端位址、遠端主機、伺服器埠和通訊協定的值。如果未設定屬性，或此屬性設定為 false，則會使用請求中的值。如果未設定，將使用 false 的預設值。

此屬性不再受支援。請改用連接器屬性 enableLookups。

如果連接器上的 enableLookups 已設定為 true，且您想要忽略它，請在 pattern 的值中使用 %a，而不是 %h。

旗標用於判斷是否應執行記錄旋轉。如果設定為 false，則此檔案絕不會旋轉，且會忽略 fileDateFormat。預設值：true

新增至每個記錄檔名稱結尾的後置字元。如果未指定，預設值為「」（零長度字串），表示不會新增後置字元。

實作要使用的 Java 類別名稱。這必須設定為 org.apache.catalina.valves.ExtendedAccessLogValve，才能使用延伸的存取記錄閥門。

格式化配置，識別要記錄的請求和回應的各種資訊欄位。請參閱下方，以取得有關如何設定此屬性的更多資訊。

要使用的實作的 Java 類別名稱。這必須設定為 org.apache.catalina.valves.JsonAccessLogValve 才能使用擴充的存取記錄閥。

要使用的實作的 Java 類別名稱。這必須設定為 org.apache.catalina.valves.RemoteAddrValve。

一個正規表示式（使用 java.util.regex），用來與遠端客戶端的 IP 位址進行比較。如果指定此屬性，則遠端位址必須符合才能接受此要求。如果未指定此屬性，則會接受所有要求，除非遠端位址符合 deny 模式。

一個正規表示式（使用 java.util.regex），用來與遠端客戶端的 IP 位址進行比較。如果指定此屬性，則遠端位址不能符合才能接受此要求。如果未指定此屬性，則要求接受僅由 allow 屬性決定。

拒絕拒絕的要求時使用的 HTTP 回應狀態碼。預設值為 403。例如，它可以設定為值 404。

將伺服器連接埠新增到客戶端 IP 位址，並以分號 (";") 分隔。如果將此設定為 true，則使用 allow 和 deny 設定的表示式會與 ADDRESS;PORT 進行比較，其中 ADDRESS 是客戶端 IP 位址，而 PORT 是收到要求的 Tomcat 連接埠。預設值為 false。

當要求應被拒絕時，不要拒絕，而是設定一個無效的 authentication 標頭。這只有在內容設定了屬性 preemptiveAuthentication="true" 時才有效。現有的 authentication 標頭不會被覆寫。實際上，這會觸發驗證，而不是拒絕，即使應用程式沒有設定安全性約束。

這可以與 addConnectorPort 結合使用，以根據用於存取應用程式的客戶端和連接埠觸發驗證。

使用連線對等位址，而不是客戶端 IP 位址。如果在 Tomcat 前面使用反向代理程式，並搭配 AJP 協定或 HTTP 協定加上 RemoteIp(Valve|Filter)，它們會有所不同。

要使用的實作之 Java 類別名稱。這必須設定為 org.apache.catalina.valves.RemoteHostValve。

遠端客戶端主機名稱與之進行比較的正規表示式（使用 java.util.regex）。如果指定此屬性，則遠端主機名稱必須符合此正規表示式，此請求才會被接受。如果未指定此屬性，則所有請求都會被接受，除非遠端主機名稱符合 deny 模式。

遠端客戶端主機名稱與之進行比較的正規表示式（使用 java.util.regex）。如果指定此屬性，則遠端主機名稱不能符合此正規表示式，此請求才會被接受。如果未指定此屬性，則請求接受僅由 allow 屬性決定。

拒絕拒絕的要求時使用的 HTTP 回應狀態碼。預設值為 403。例如，它可以設定為值 404。

將伺服器連接器埠新增到客戶端主機名稱，並以分號 (";") 分隔。如果將此設定為 true，則會將使用 allow 和 deny 設定的表示式與 HOSTNAME;PORT 進行比較，其中 HOSTNAME 是客戶端主機名稱，而 PORT 是接收請求的 Tomcat 連接器埠。預設值為 false。

當要求應被拒絕時，不要拒絕，而是設定一個無效的 authentication 標頭。這只有在內容設定了屬性 preemptiveAuthentication="true" 時才有效。現有的 authentication 標頭不會被覆寫。實際上，這會觸發驗證，而不是拒絕，即使應用程式沒有設定安全性約束。

這可以與 addConnectorPort 結合使用，以根據用於存取應用程式的客戶端和連接埠觸發驗證。

要使用的實作的 Java 類別名稱。這必須設定為 org.apache.catalina.valves.RemoteCIDRValve。

以逗號分隔的 IPv4 或 IPv6 網域遮罩或位址清單，用來比對遠端用戶端 IP 位址。如果指定這個屬性，遠端位址必須符合才能接受這個要求。如果未指定這個屬性，所有要求都會被接受，除非遠端 IP 與 deny 屬性中的網域遮罩相符。

以逗號分隔的 IPv4 或 IPv6 網域遮罩或位址清單，用來比對遠端用戶端 IP 位址。如果指定這個屬性，遠端位址不能符合才能接受這個要求。如果未指定這個屬性，要求接受只會受 accept 屬性管控。

拒絕拒絕的要求時使用的 HTTP 回應狀態碼。預設值為 403。例如，它可以設定為值 404。

將伺服器連接埠新增到客戶端 IP 位址，並以分號 (";") 分隔。如果將此設定為 true，則使用 allow 和 deny 設定的表示式會與 ADDRESS;PORT 進行比較，其中 ADDRESS 是客戶端 IP 位址，而 PORT 是收到要求的 Tomcat 連接埠。預設值為 false。

當要求應被拒絕時，不要拒絕，而是設定一個無效的 authentication 標頭。這只有在內容設定了屬性 preemptiveAuthentication="true" 時才有效。現有的 authentication 標頭不會被覆寫。實際上，這會觸發驗證，而不是拒絕，即使應用程式沒有設定安全性約束。

這可以與 addConnectorPort 結合使用，以根據用於存取應用程式的客戶端和連接埠觸發驗證。

使用連線對等位址，而不是客戶端 IP 位址。如果在 Tomcat 前面使用反向代理程式，並搭配 AJP 協定或 HTTP 協定加上 RemoteIp(Valve|Filter)，它們會有所不同。

要使用的實作的 Java 類別名稱。這必須設定為 org.apache.catalina.valves.LoadBalancerDrainingValve。

允許設定自訂重新導向代碼，當客戶端重新導向到由負載平衡器重新平衡時使用。預設值為 307 TEMPORARY_REDIRECT。

與 ignoreCookieValue 一起使用時，客戶端可以提供這個 Cookie（和隨附的值），這將導致此 Valve 不執行任何動作。這將允許您在重新啟用 已停用 節點之前探查它，以確保它運作正常。

與 ignoreCookieName 一起使用時，客戶端可以提供一個 Cookie（和隨附的值），這將導致此 Valve 不執行任何動作。這將允許您在重新啟用 已停用 節點之前探查它，以確保它運作正常。

要使用的實作的 Java 類別名稱。這必須設定為org.apache.catalina.valves.RemoteIpValve。

此閥門讀取的 HTTP 標頭名稱，其中包含從要求用戶端開始的已遍歷 IP 地址清單。如果未指定，則使用預設的x-forwarded-for。

代理伺服器的 IP 地址必須符合的正規表示式（使用java.util.regex），才能被視為內部代理伺服器。出現在remoteIpHeader中的內部代理伺服器將受到信任，且不會出現在proxiesHeader值中。如果未指定，則使用預設值 10\.\d{1,3}\.\d{1,3}\.\d{1,3}|192\.168\.\d{1,3}\.\d{1,3}|169\.254\.\d{1,3}\.\d{1,3}|127\.\d{1,3}\.\d{1,3}\.\d{1,3}|100\.6[4-9]{1}\.\d{1,3}\.\d{1,3}|100\.[7-9]{1}\d{1}\.\d{1,3}\.\d{1,3}|100\.1[0-1]{1}\d{1}\.\d{1,3}\.\d{1,3}|100\.12[0-7]{1}\.\d{1,3}\.\d{1,3}|172\.1[6-9]{1}\.\d{1,3}\.\d{1,3}|172\.2[0-9]{1}\.\d{1,3}\.\d{1,3}|172\.3[0-1]{1}\.\d{1,3}\.\d{1,3}|0:0:0:0:0:0:0:1 。

此閥門建立的 HTTP 標頭名稱，用於儲存已在輸入的remoteIpHeader中處理的代理伺服器清單。如果未指定，則使用預設的x-forwarded-by。

設定為 true 以設定 AccessLog 實作所使用的要求屬性，用於覆寫要求傳回的遠端位址、遠端主機、伺服器埠和通訊協定的值。要求屬性也用於啟用在 Manager 網路應用程式的狀態頁面上顯示轉送的遠端位址。如果未設定，將使用預設值 true。

正規表示式（使用 java.util.regex），代理伺服器的 IP 位址必須符合此正規表示式，才能被視為受信任的代理伺服器。出現在 remoteIpHeader 中的受信任代理伺服器將會受到信任，並會出現在 proxiesHeader 值中。如果未指定，將不會信任任何代理伺服器。

此閥值讀取的 HTTP 標頭名稱，其中包含用戶端用於連線到代理伺服器的通訊協定。如果未指定，將使用預設值 X-Forwarded-Proto。

此閥值讀取的 HTTP 標頭名稱，其中包含用戶端用於連線到代理伺服器的主機。如果未指定，將使用預設值 null。

此閥值讀取的 HTTP 標頭名稱，其中包含用戶端用於連線到代理伺服器的埠。如果未指定，將使用預設值 null。

protocolHeader 的值，用於表示這是 HTTPS 要求。如果未指定，將使用預設值 https。

當 protocolHeader 表示 http 通訊協定且沒有 portHeader 時，ServletRequest.getServerPort() 傳回的值。如果未指定，將使用預設值 80。

當 protocolHeader 表示 https 通訊協定且沒有 portHeader 時，ServletRequest.getServerPort() 傳回的值。如果未指定，將使用預設值 443。

如果為 true，此閥值會修改 ServletRequest.getLocalHost() 和 ServletRequest.getServerHost() 傳回的值。如果未指定，將使用預設值 false。

如果為 true，此閥值會修改 ServletRequest.getLocalPort() 和 ServletRequest.getServerPort() 傳回的值。如果未指定，將使用預設值 false。

要使用的實作的 Java 類別名稱。這必須設定為 org.apache.catalina.valves.SSLValve。

允許設定 ssl_client_cert 標頭的客製化名稱。如果未指定，則使用預設值 ssl_client_cert。

允許設定 ssl_client_escaped_cert 標頭的客製化名稱。如果未指定，則使用預設值 ssl_client_escaped_cert。

此標頭對於 Nginx 代理很有用，且優先於 ssl_client_cert 標頭。

允許設定 ssl_cipher 標頭的客製化名稱。如果未指定，則使用預設值 ssl_cipher。

允許設定 ssl_session_id 標頭的客製化名稱。如果未指定，則使用預設值 ssl_session_id。

允許設定 ssl_cipher_usekeysize 標頭的客製化名稱。如果未指定，則使用預設值 ssl_cipher_usekeysize。

符合 CORS 規範要求，允許看似 CORS 預先驗證要求的請求繞過驗證器。允許的值為 never、filter 和 always。never 表示請求絕不會繞過驗證，即使看似 CORS 預先驗證請求。filter 表示如果請求看似 CORS 預先驗證請求，就會繞過驗證；它會對應到已啟用 CORS 篩選器 的網路應用程式；而 CORS 篩選器會對應到 /*。always 表示所有看似 CORS 預先驗證請求的請求都會繞過驗證。如果未設定，預設值為 never。

使用者驗證後是否應始終使用工作階段？由於工作階段可用於快取已驗證的主體，因此這可能會提供一些效能優勢，進而無需在每個請求中透過 Realm 驗證使用者。這可能有助於將 BASIC 驗證與 JNDIRealm 或 DataSourceRealms 搭配使用。不過，建立和 GC 工作階段也會產生效能成本。如果未設定，將使用預設值 false。

如果請求是 HTTP 工作階段的一部分，我們是否應快取已驗證的主體？如果未指定，將使用預設值 true。

控制在使用者驗證時，如果工作階段存在，是否變更工作階段 ID。這是為了防止工作階段固定攻擊。如果未設定，將使用預設值 true。

控制 WWW-Authenticate HTTP 標頭是否包含 charset 驗證參數，依據 RFC 7617。唯一允許的選項為 null、空字串和 UTF-8。如果指定 UTF-8，charset 驗證參數將會傳送該值，而且提供的使用者名稱和選用密碼將會使用 UTF-8 從位元組轉換為字元。否則，不會傳送 charset 驗證參數，而且提供的使用者名稱和選用密碼將會使用 ISO-8859-1 從位元組轉換為字元。預設值為 null

要使用的實作的 Java 類別名稱。這必須設定為 org.apache.catalina.authenticator.BasicAuthenticator。

控制受安全性約束保護的頁面的快取。將此設定為 false 可能有助於解決某些瀏覽器的快取問題，但也會導致受保護的頁面被代理快取，這幾乎肯定會是一個安全性問題。securePagesWithPragma 提供了一個瀏覽器快取問題的替代安全解決方法。如果未設定，將使用預設值 true。

javax.security.auth.callback.CallbackHandler 實作的 Java 類別名稱，應由 JASPIC 使用。如果未指定，將使用預設的 org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl。

控制受安全性約束保護的頁面的快取。將此設定為 false 可能有助於解決某些瀏覽器的快取問題，方法是使用 Cache-Control: private 而不是預設的 Pragma: No-cache 和 Cache-control: No-cache。如果未設定，將使用預設值 false。

用於建立產生會話 ID 的 java.security.SecureRandom 執行個體的演算法名稱。如果指定無效的演算法和/或提供者，將使用平台預設提供者和預設演算法。如果未指定，將使用 SHA1PRNG 的預設演算法。如果預設演算法不受支援，將使用平台預設。若要指定應使用平台預設，請勿設定 secureRandomProvider 屬性，並將此屬性設定為空字串。

延伸 java.security.SecureRandom 的 Java 類別名稱，用於產生 SSO 會話 ID。如果未指定，預設值為 java.security.SecureRandom。

用於建立產生 SSO 會話 ID 的 java.security.SecureRandom 執行個體的提供者名稱。如果指定無效的演算法和/或提供者，將使用平台預設提供者和預設演算法。如果未指定，將使用平台預設提供者。

控制是否將驗證資訊（遠端使用者和驗證類型）傳回作為轉發/代理請求的回應標頭。當 RemoteIpValve 或 RemoteIpFilter 使用 Globals.REQUEST_FORWARDED_ATTRIBUTE 標記轉發請求時，此驗證器可以將 HttpServletRequest.getRemoteUser() 和 HttpServletRequest.getAuthType() 的值傳回作為回應標頭 remote-user 和 auth-type 給反向代理。例如，這對於存取記錄一致性或其他決策制定很有用。如果未指定，預設值為 false。

控制是否移除已剖析憑證的前導和/或尾隨空白。如果未指定，預設值為 false。

注意：此屬性將從 Tomcat 11 起移除。

用於驗證程序的摘要演算法的逗號分隔清單。演算法可以使用 Java 標準名稱或 RFC 7616 使用的名稱來指定。如果未指定，將使用預設值 SHA-256,MD5。

符合 CORS 規範要求，允許看似 CORS 預先驗證要求的請求繞過驗證器。允許的值為 never、filter 和 always。never 表示請求絕不會繞過驗證，即使看似 CORS 預先驗證請求。filter 表示如果請求看似 CORS 預先驗證請求，就會繞過驗證；它會對應到已啟用 CORS 篩選器 的網路應用程式；而 CORS 篩選器會對應到 /*。always 表示所有看似 CORS 預先驗證請求的請求都會繞過驗證。如果未設定，預設值為 never。

使用者驗證後是否應始終使用工作階段？由於工作階段可用於快取已驗證的主體，因此這可能會提供一些效能優勢，進而無需在每個請求中透過 Realm 驗證使用者。這可能有助於將 BASIC 驗證與 JNDIRealm 或 DataSourceRealms 搭配使用。不過，建立和 GC 工作階段也會產生效能成本。如果未設定，將使用預設值 false。

如果請求是 HTTP 會話的一部分，我們是否快取已驗證的主體？如果未指定，將使用預設值 false。

控制在使用者驗證時，如果工作階段存在，是否變更工作階段 ID。這是為了防止工作階段固定攻擊。如果未設定，將使用預設值 true。

要使用的實作的 Java 類別名稱。此項必須設定為 org.apache.catalina.authenticator.DigestAuthenticator。

控制受安全性約束保護的頁面的快取。將此設定為 false 可能有助於解決某些瀏覽器的快取問題，但也會導致受保護的頁面被代理快取，這幾乎肯定會是一個安全性問題。securePagesWithPragma 提供了一個瀏覽器快取問題的替代安全解決方法。如果未設定，將使用預設值 true。

javax.security.auth.callback.CallbackHandler 實作的 Java 類別名稱，應由 JASPIC 使用。如果未指定，將使用預設的 org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl。

摘要驗證使用的密鑰。如果未設定，將產生安全的隨機值。通常只有在有必要讓金鑰值在伺服器重新啟動和/或叢集之間保持不變時才設定此項。

為了防止重播攻擊，DIGEST 驗證器會追蹤伺服器亂數值和亂數值計數值。此屬性控制該快取的大小。如果未指定，將使用預設值 1000。

客戶端請求可能會亂序處理，這反過來表示亂數值計數值可能會亂序處理。為了在亂數值計數亂序呈現時防止驗證失敗，驗證器會追蹤亂數值計數值的視窗。此屬性控制該視窗的大小。如果未指定，將使用預設值 100。

伺服器產生之 nonce 在驗證中被視為有效的時間（毫秒）。若未指定，預設值為 300000（5 分鐘）。

摘要驗證所使用的伺服器不透明字串。若未設定，會產生一個隨機值。通常只有在需要讓不透明值在伺服器重新啟動和/或叢集之間保持不變時，才會設定此值。

控制受安全性約束保護的頁面的快取。將此設定為 false 可能有助於解決某些瀏覽器的快取問題，方法是使用 Cache-Control: private 而不是預設的 Pragma: No-cache 和 Cache-control: No-cache。如果未設定，將使用預設值 false。

用於建立產生會話 ID 的 java.security.SecureRandom 執行個體的演算法名稱。如果指定無效的演算法和/或提供者，將使用平台預設提供者和預設演算法。如果未指定，將使用 SHA1PRNG 的預設演算法。如果預設演算法不受支援，將使用平台預設。若要指定應使用平台預設，請勿設定 secureRandomProvider 屬性，並將此屬性設定為空字串。

延伸 java.security.SecureRandom 的 Java 類別名稱，用於產生 SSO 會話 ID。如果未指定，預設值為 java.security.SecureRandom。

用於建立產生 SSO 會話 ID 的 java.security.SecureRandom 執行個體的提供者名稱。如果指定無效的演算法和/或提供者，將使用平台預設提供者和預設演算法。如果未指定，將使用平台預設提供者。

控制是否將驗證資訊（遠端使用者和驗證類型）傳回作為轉發/代理請求的回應標頭。當 RemoteIpValve 或 RemoteIpFilter 使用 Globals.REQUEST_FORWARDED_ATTRIBUTE 標記轉發請求時，此驗證器可以將 HttpServletRequest.getRemoteUser() 和 HttpServletRequest.getAuthType() 的值傳回作為回應標頭 remote-user 和 auth-type 給反向代理。例如，這對於存取記錄一致性或其他決策制定很有用。如果未指定，預設值為 false。

是否應根據 RFC2617 驗證 URI？若未指定，預設值為 true。通常只有當 Tomcat 位於反向代理之後，而代理修改傳遞給 Tomcat 的 URI，導致 DIGEST 驗證總是失敗時，才會設定此值。

符合 CORS 規範要求，允許看似 CORS 預先驗證要求的請求繞過驗證器。允許的值為 never、filter 和 always。never 表示請求絕不會繞過驗證，即使看似 CORS 預先驗證請求。filter 表示如果請求看似 CORS 預先驗證請求，就會繞過驗證；它會對應到已啟用 CORS 篩選器 的網路應用程式；而 CORS 篩選器會對應到 /*。always 表示所有看似 CORS 預先驗證請求的請求都會繞過驗證。如果未設定，預設值為 never。

如果驗證程序建立一個工作階段，這是驗證程序中最大的工作階段逾時（以秒為單位）。驗證完成後，將套用預設的工作階段逾時。在驗證程序開始前就存在的會話，其原始會話逾時將持續存在。若未設定，預設值為 120 秒。

控制在使用者驗證時，如果工作階段存在，是否變更工作階段 ID。這是為了防止工作階段固定攻擊。如果未設定，將使用預設值 true。

用於從要求中讀取使用者名稱和密碼參數的字元編碼。若未設定，將使用要求主體的編碼。

要使用的實作的 Java 類別名稱。這必須設定為 org.apache.catalina.authenticator.FormAuthenticator。

控制受安全性約束保護的頁面的快取。將此設定為 false 可能有助於解決某些瀏覽器的快取問題，但也會導致受保護的頁面被代理快取，這幾乎肯定會是一個安全性問題。securePagesWithPragma 提供了一個瀏覽器快取問題的替代安全解決方法。如果未設定，將使用預設值 true。

javax.security.auth.callback.CallbackHandler 實作的 Java 類別名稱，應由 JASPIC 使用。如果未指定，將使用預設的 org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl。

控制表單驗證程序在程序被誤用時的行為，例如直接要求登入頁面或延遲登入太久導致會話逾時。如果設定此屬性，Tomcat 會在使用有效憑證提交登入表單時，將使用者重新導向到指定的著陸頁面，而不是傳回錯誤回應碼。若要處理登入，著陸頁面必須是一個受保護的資源（即需要驗證的資源）。如果著陸頁面不需要驗證，則使用者不會登入，並且在他們存取受保護頁面時，會再次提示他們輸入憑證。

控制受安全性約束保護的頁面的快取。將此設定為 false 可能有助於解決某些瀏覽器的快取問題，方法是使用 Cache-Control: private 而不是預設的 Pragma: No-cache 和 Cache-control: No-cache。如果未設定，將使用預設值 false。

用於建立產生會話 ID 的 java.security.SecureRandom 執行個體的演算法名稱。如果指定無效的演算法和/或提供者，將使用平台預設提供者和預設演算法。如果未指定，將使用 SHA1PRNG 的預設演算法。如果預設演算法不受支援，將使用平台預設。若要指定應使用平台預設，請勿設定 secureRandomProvider 屬性，並將此屬性設定為空字串。

延伸 java.security.SecureRandom 的 Java 類別名稱，用於產生 SSO 會話 ID。如果未指定，預設值為 java.security.SecureRandom。

用於建立產生 SSO 會話 ID 的 java.security.SecureRandom 執行個體的提供者名稱。如果指定無效的演算法和/或提供者，將使用平台預設提供者和預設演算法。如果未指定，將使用平台預設提供者。

控制是否將驗證資訊（遠端使用者和驗證類型）傳回作為轉發/代理請求的回應標頭。當 RemoteIpValve 或 RemoteIpFilter 使用 Globals.REQUEST_FORWARDED_ATTRIBUTE 標記轉發請求時，此驗證器可以將 HttpServletRequest.getRemoteUser() 和 HttpServletRequest.getAuthType() 的值傳回作為回應標頭 remote-user 和 auth-type 給反向代理。例如，這對於存取記錄一致性或其他決策制定很有用。如果未指定，預設值為 false。

符合 CORS 規範要求，允許看似 CORS 預先驗證要求的請求繞過驗證器。允許的值為 never、filter 和 always。never 表示請求絕不會繞過驗證，即使看似 CORS 預先驗證請求。filter 表示如果請求看似 CORS 預先驗證請求，就會繞過驗證；它會對應到已啟用 CORS 篩選器 的網路應用程式；而 CORS 篩選器會對應到 /*。always 表示所有看似 CORS 預先驗證請求的請求都會繞過驗證。如果未設定，預設值為 never。

如果請求是 HTTP 工作階段的一部分，我們是否應快取已驗證的主體？如果未指定，將使用預設值 true。

要使用的實作的 Java 類別名稱。這必須設定為 org.apache.catalina.authenticator.SSLAuthenticator。

控制在使用者驗證時，如果工作階段存在，是否變更工作階段 ID。這是為了防止工作階段固定攻擊。如果未設定，將使用預設值 true。

控制受安全性約束保護的頁面的快取。將此設定為 false 可能有助於解決某些瀏覽器的快取問題，但也會導致受保護的頁面被代理快取，這幾乎肯定會是一個安全性問題。securePagesWithPragma 提供了一個瀏覽器快取問題的替代安全解決方法。如果未設定，將使用預設值 true。

javax.security.auth.callback.CallbackHandler 實作的 Java 類別名稱，應由 JASPIC 使用。如果未指定，將使用預設的 org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl。

控制受安全性約束保護的頁面的快取。將此設定為 false 可能有助於解決某些瀏覽器的快取問題，方法是使用 Cache-Control: private 而不是預設的 Pragma: No-cache 和 Cache-control: No-cache。如果未設定，將使用預設值 false。

用於建立產生會話 ID 的 java.security.SecureRandom 執行個體的演算法名稱。如果指定無效的演算法和/或提供者，將使用平台預設提供者和預設演算法。如果未指定，將使用 SHA1PRNG 的預設演算法。如果預設演算法不受支援，將使用平台預設。若要指定應使用平台預設，請勿設定 secureRandomProvider 屬性，並將此屬性設定為空字串。

延伸 java.security.SecureRandom 的 Java 類別名稱，用於產生 SSO 會話 ID。如果未指定，預設值為 java.security.SecureRandom。

用於建立產生 SSO 會話 ID 的 java.security.SecureRandom 執行個體的提供者名稱。如果指定無效的演算法和/或提供者，將使用平台預設提供者和預設演算法。如果未指定，將使用平台預設提供者。

看起來像是 CORS 預先驗證要求的請求是否允許繞過驗證器，這是 CORS 規格所要求的。允許的值為 never、filter 和 always。never 表示請求永遠不會繞過驗證，即使它看起來像是 CORS 預先驗證請求。filter 表示如果請求看起來像是 CORS 預先驗證請求，而且請求對應的 Web 應用程式已啟用 CORS 濾器 並對應到 /*，則請求會繞過驗證。always 表示看起來像是 CORS 預先驗證請求的所有請求都會繞過驗證。如果未設定，預設值為 never。

一旦使用者通過驗證，是否應該始終使用階段？這可能會提供一些效能優勢，因為之後可以使用階段快取經過驗證的主體，因此無需在每個請求上驗證使用者。這也有助於假設伺服器會快取經過驗證使用者的客戶端。但是，建立和 GC 階段也會造成效能成本。有關替代方案，請參閱 noKeepAliveUserAgents。如果未設定，將使用預設值 false。

Java 8 更新 40 ( JDK-8048194) 中引入的修正中斷了在 Windows 2008 R2 伺服器上執行 Tomcat 的 IE 的 SPNEGO 驗證。此選項啟用了解決方法，讓 SPNEGO 驗證可以繼續運作。解決方法不應影響其他組態，因此預設已啟用。如有必要，可以透過將此屬性設定為 false 來停用解決方法。

如果請求是 HTTP 工作階段的一部分，我們是否應快取已驗證的主體？如果未指定，將使用預設值 true。

要使用的實作的 Java 類別名稱。這必須設定為 org.apache.catalina.authenticator.SpnegoAuthenticator。

控制在使用者驗證時，如果工作階段存在，是否變更工作階段 ID。這是為了防止工作階段固定攻擊。如果未設定，將使用預設值 true。

控制受安全性約束保護的頁面的快取。將此設定為 false 可能有助於解決某些瀏覽器的快取問題，但也會導致受保護的頁面被代理快取，這幾乎肯定會是一個安全性問題。securePagesWithPragma 提供了一個瀏覽器快取問題的替代安全解決方法。如果未設定，將使用預設值 true。

javax.security.auth.callback.CallbackHandler 實作的 Java 類別名稱，應由 JASPIC 使用。如果未指定，將使用預設的 org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl。

用於登入服務的 JAAS 登入組態名稱。如果未指定，則使用預設值 com.sun.security.jgss.krb5.accept。

有些客戶端（不是大多數瀏覽器）預期伺服器會快取連線的經過驗證使用者資訊，而且不會在每個請求中重新傳送憑證。除非有 HTTP 階段可用，否則 Tomcat 不會執行此動作。如果應用程式建立階段或為此驗證器啟用了 alwaysUseSession，則會有階段可用。

作為建立工作階段的替代方案，此屬性可用於定義停用 HTTP 保持連線的使用者代理。這表示連線只會用於單一要求，因此無法針對每個連線快取經過驗證的使用者資訊。停用 HTTP 保持連線會造成效能成本。

此屬性應為符合整個使用者代理字串的正規表示法，例如 .*Chrome.*。如果未指定，則不會定義正規表示法，且不會停用任何使用者代理的 HTTP 保持連線。

控制受安全性約束保護的頁面的快取。將此設定為 false 可能有助於解決某些瀏覽器的快取問題，方法是使用 Cache-Control: private 而不是預設的 Pragma: No-cache 和 Cache-control: No-cache。如果未設定，將使用預設值 false。

用於建立產生會話 ID 的 java.security.SecureRandom 執行個體的演算法名稱。如果指定無效的演算法和/或提供者，將使用平台預設提供者和預設演算法。如果未指定，將使用 SHA1PRNG 的預設演算法。如果預設演算法不受支援，將使用平台預設。若要指定應使用平台預設，請勿設定 secureRandomProvider 屬性，並將此屬性設定為空字串。

延伸 java.security.SecureRandom 的 Java 類別名稱，用於產生 SSO 會話 ID。如果未指定，預設值為 java.security.SecureRandom。

用於建立產生 SSO 會話 ID 的 java.security.SecureRandom 執行個體的提供者名稱。如果指定無效的演算法和/或提供者，將使用平台預設提供者和預設演算法。如果未指定，將使用平台預設提供者。

控制是否將驗證資訊（遠端使用者和驗證類型）傳回作為轉發/代理請求的回應標頭。當 RemoteIpValve 或 RemoteIpFilter 使用 Globals.REQUEST_FORWARDED_ATTRIBUTE 標記轉發請求時，此驗證器可以將 HttpServletRequest.getRemoteUser() 和 HttpServletRequest.getAuthType() 的值傳回作為回應標頭 remote-user 和 auth-type 給反向代理。例如，這對於存取記錄一致性或其他決策制定很有用。如果未指定，預設值為 false。

控制使用者委派憑證是否會儲存在使用者主體中。如果可用，委派憑證會透過 org.apache.catalina.realm.GSS_CREDENTIAL 要求屬性提供給應用程式（例如用於對外部服務進行後續驗證）。如果未設定，則會使用預設值 true。