一、修改用户权限方法
-
到tomcat文件目录下的\conf\tomcat-users.xml的文件中
将所需要的角色权限添加到指定用户的roles标签下,并用逗号隔开。
二、admin
- admin-gui - 将此角色用于图形Web界面。
- admin-script - 将此角色用于脚本Web界面。
- Host Manager应用程序要求用户具有以上角色之一
三、 manager
- manager-gui - 访问HTML界面。
- manager-status - 仅访问“Server Status”页面。
- manager-script - 访问本文档中描述的工具友好的纯文本界面,以及“Server Status”页面。
- manager-jmx - 访问JMX代理接口和“Server Status”页面。
四、注意事项
以下摘自Tomcat9官方文档:
- HTML接口受到CSRF(跨站点请求伪造)攻击的保护,但文本和JMX接口无法受到保护。这意味着当使用Web浏览器访问Manager应用程序时,允许访问文本和JMX界面的用户必须小心谨慎。为了保持CSRF保护:
- 如果使用Web浏览器使用具有manager-script或 manager-jmx角色的用户访问Manager应用程序(例如,用于测试纯文本或JMX接口),则必须先关闭浏览器的所有窗口以终止会话。如果您不关闭浏览器并访问其他站点,您可能会成为CSRF攻击的受害者。
- 建议永远不要将manager-script或manager-jmx 角色授予具有manager-gui角色的用户。
- 注意,JMX代理接口实际上是Tomcat的低级根类管理接口。如果他知道要调用什么命令,那么可以做很多事情。启用manager-jmx角色时应该谨慎 。