Apache Tomcat 10 設定リファレンス

ロギングをバッファリングするかどうかを決定するフラグ。 falseに設定すると、アクセスログは各リクエストの後に書き込まれます。 デフォルト値：true

使用する実装のJavaクラス名。 デフォルトのアクセスログvalveを使用するには、これをorg.apache.catalina.valves.AccessLogValveに設定する必要があります。

conditionUnlessと同じです。 この属性は、下位互換性のために提供されています。

条件付きロギングをオンにします。設定されている場合、ServletRequest.getAttribute()がnullでない場合にのみリクエストがログに記録されます。たとえば、この値がimportantに設定されている場合、特定のリクエストはServletRequest.getAttribute("important") != nullの場合にのみログに記録されます。 フィルターを使用すると、多くの異なるリクエストでServletRequestの属性を簡単に設定/設定解除できます。

条件付きロギングをオンにします。設定されている場合、ServletRequest.getAttribute()がnullの場合にのみリクエストがログに記録されます。たとえば、この値が`junk`に設定されている場合、特定のリクエストは`ServletRequest.getAttribute("junk") == null`の場合にのみログに記録されます。 フィルターを使用すると、多くの異なるリクエストでServletRequestの属性を簡単に設定/設定解除できます。

このvalveによって作成されたログファイルが配置されるディレクトリの絶対パスまたは相対パス名。相対パスが指定されている場合、$CATALINA_BASEからの相対パスとして解釈されます。 directory属性が指定されていない場合、デフォルト値は「logs」（$CATALINA_BASEからの相対パス）です。

ログファイルの書き込みに使用される文字セット。空の文字列は、デフォルトの文字セットを使用することを意味します。 デフォルト値：UTF-8。

アクセスログファイル名でカスタマイズされたタイムスタンプを使用できます。フォーマットされたタイムスタンプが変更されるたびに、ファイルはローテーションされます。デフォルト値は.yyyy-MM-ddです。 1時間ごとにローテーションする場合は、この値を.yyyy-MM-dd.HHに設定します。日付形式は常にロケール`en_US`を使用してローカライズされます。

IPv6アドレスをRFC 5952で定義されている標準表現形式で表すかどうかを決定するフラグ。 trueに設定すると、IPv6アドレスは標準形式（例：2001:db8::1:0:0:1、::1）で書き込まれます。そうでない場合は、完全な形式（例：2001:db8:0:0:1:0:0:1、0:0:0:0:0:0:0:1）で表されます。 デフォルト値：false

アクセスログ行のタイムスタンプのフォーマットに使用されるロケール。明示的なSimpleDateFormatパターン（%{xxx}t）を使用して設定されたタイムスタンプは、このロケールでフォーマットされます。デフォルトでは、Javaプロセスのデフォルトロケールが使用されます。 AccessLogValveの初期化後にロケールを切り替えることはサポートされていません。共通ログフォーマット（CLF）を使用するタイムスタンプは、常にロケール`en_US`でフォーマットされます。

ローテーションされたアクセスログが削除されるまで保持される最大日数。指定しない場合、デフォルト値の`-1`が使用されます。これは、古いファイルを削除しないことを意味します。

ログメッセージバッファは通常リサイクルされ、再利用されます。過剰なメモリ使用を防ぐために、バッファがこのサイズを超えて増加した場合、バッファは破棄されます。デフォルトは256文字です。これは、一般的なアクセスログメッセージサイズよりも大きく設定する必要があります。

リクエストとレスポンスからログに記録されるさまざまな情報フィールドを識別するフォーマットレイアウト、または標準フォーマットを選択するための単語`common`または`combined`。この属性の設定の詳細については、以下を参照してください。

各ログファイルの名前の先頭に追加されるプレフィックス。指定しない場合、デフォルト値は「access_log」です。

デフォルトでは、ローテーション可能なログの場合、アクティブなアクセスログファイル名には`fileDateFormat`の現在のタイムスタンプが含まれます。ローテーション中、ファイルは閉じられ、名前に次のタイムスタンプが付いた新しいファイルが作成されて使用されます。 `renameOnRotate`を`true`に設定すると、タイムスタンプはアクティブなログファイル名の一部ではなくなります。ローテーション中にのみファイルが閉じられ、タイムスタンプを含むように名前が変更されます。これは、時間ベースのローテーションを行う場合のほとんどのログフレームワークの動作と似ています。 デフォルト値：`false`

リモートアドレス、リモートホスト、サーバーポート、およびプロトコルについてリクエストによって返される値をオーバーライドするために使用されるリクエスト属性（通常はRemoteIpValveなどによって設定される）の存在を確認するには、`true`に設定します。属性が設定されていないか、この属性が`false`に設定されている場合、リクエストからの値が使用されます。設定しない場合、デフォルト値の`false`が使用されます。

この属性は、もはやサポートされていません。代わりに、コネクタ属性`enableLookups`を使用してください。

コネクタでenableLookupsがtrueに設定されていて、それを無視したい場合は、patternの値に%hの代わりに%aを使用してください。

ログのローテーションを行うかどうかを決定するフラグ。falseに設定すると、このファイルはローテーションされず、fileDateFormatは無視されます。デフォルト値：true

各ログファイル名の末尾に追加される接尾辞。指定しない場合、デフォルト値は ""（長さゼロの文字列）で、接尾辞は追加されません。

使用する実装のJavaクラス名。拡張アクセスログバルブを使用するには、これを**org.apache.catalina.valves.ExtendedAccessLogValve**に設定する必要があります。

リクエストとレスポンスからログに記録されるさまざまな情報フィールドを識別するフォーマットレイアウト。この属性の構成の詳細については、以下を参照してください。

使用する実装のJavaクラス名。拡張アクセスログバルブを使用するには、これを **org.apache.catalina.valves.JsonAccessLogValve** に設定する必要があります。

使用する実装のJavaクラス名。これは**org.apache.catalina.valves.RemoteAddrValve**に設定する必要があります。

リモートクライアントのIPアドレスと比較される正規表現（`java.util.regex`を使用）。この属性が指定されている場合、このリクエストを受け入れるには、リモートアドレスが一致する必要があります。この属性が指定されていない場合、リモートアドレスが`deny`パターンと一致しない限り、すべてのリクエストが受け入れられます。

リモートクライアントのIPアドレスと比較される正規表現（`java.util.regex`を使用）。この属性が指定されている場合、このリクエストを受け入れるには、リモートアドレスが一致してはなりません。この属性が指定されていない場合、リクエストの受け入れは`allow`属性によってのみ制御されます。

拒否されたリクエストを拒否するときに使用されるHTTPレスポンスステータスコード。デフォルト値は`403`です。たとえば、値`404`に設定できます。

セミコロン（ ";"）で区切られたクライアントIPアドレスにサーバーコネクタポートを追加します。これが`true`に設定されている場合、`allow`および`deny`で構成された式は、`ADDRESS;PORT`と比較されます。ここで、`ADDRESS`はクライアントIPアドレス、`PORT`はリクエストを受信したTomcatコネクタポートです。デフォルト値は`false`です。

リクエストを拒否する必要がある場合は、拒否する代わりに、無効な`authentication`ヘッダーを設定します。これは、コンテキストに属性`preemptiveAuthentication="true"`が設定されている場合にのみ機能します。既存の`authentication`ヘッダーは上書きされません。実際には、アプリケーションにセキュリティ制約が構成されていない場合でも、拒否する代わりに認証がトリガーされます。

これは`addConnectorPort`と組み合わせて、クライアントとアプリケーションへのアクセスに使用されるコネクタに応じて認証をトリガーすることができます。

クライアントIPアドレスの代わりに接続ピアアドレスを使用します。Tomcatの前にリバースプロキシがAJPプロトコル、またはHTTPプロトコルと`RemoteIp(Valve|Filter)`の組み合わせで使用されている場合、これらは異なります。

使用する実装のJavaクラス名。これは**org.apache.catalina.valves.RemoteHostValve**に設定する必要があります。

リモートクライアントのホスト名と比較される正規表現（`java.util.regex`を使用）。この属性が指定されている場合、このリクエストを受け入れるには、リモートホスト名が一致する必要があります。この属性が指定されていない場合、リモートホスト名が`deny`パターンと一致しない限り、すべてのリクエストが受け入れられます。

リモートクライアントのホスト名と比較される正規表現（`java.util.regex`を使用）。この属性が指定されている場合、このリクエストを受け入れるには、リモートホスト名が一致してはなりません。この属性が指定されていない場合、リクエストの受け入れは`allow`属性によってのみ制御されます。

拒否されたリクエストを拒否するときに使用されるHTTPレスポンスステータスコード。デフォルト値は`403`です。たとえば、値`404`に設定できます。

セミコロン（ ";"）で区切られたクライアントホスト名にサーバーコネクタポートを追加します。これが`true`に設定されている場合、`allow`および`deny`で構成された式は、`HOSTNAME;PORT`と比較されます。ここで、`HOSTNAME`はクライアントホスト名、`PORT`はリクエストを受信したTomcatコネクタポートです。デフォルト値は`false`です。

リクエストを拒否する必要がある場合は、拒否する代わりに、無効な`authentication`ヘッダーを設定します。これは、コンテキストに属性`preemptiveAuthentication="true"`が設定されている場合にのみ機能します。既存の`authentication`ヘッダーは上書きされません。実際には、アプリケーションにセキュリティ制約が構成されていない場合でも、拒否する代わりに認証がトリガーされます。

これは`addConnectorPort`と組み合わせて、クライアントとアプリケーションへのアクセスに使用されるコネクタに応じて認証をトリガーすることができます。

使用する実装のJavaクラス名。これは**org.apache.catalina.valves.RemoteCIDRValve**に設定する必要があります。

リモートクライアントのIPアドレスが照合される、コンマ区切りのIPv4またはIPv6ネットマスクまたはアドレスのリスト。この属性が指定されている場合、このリクエストを受け入れるには、リモートアドレスが一致する必要があります。この属性が指定されていない場合、リモートIPが`deny`属性のネットマスクと一致しない限り、すべてのリクエストが受け入れられます。

リモートクライアントのIPアドレスが照合される、カンマ区切りのIPv4またはIPv6ネットマスクまたはアドレスのリスト。この属性が指定されている場合、このリクエストが受け入れられるためには、リモートアドレスが一致してはいけません。この属性が指定されていない場合、リクエストの受け入れはaccept属性によってのみ制御されます。

拒否されたリクエストを拒否するときに使用されるHTTPレスポンスステータスコード。デフォルト値は`403`です。たとえば、値`404`に設定できます。

セミコロン（ ";"）で区切られたクライアントIPアドレスにサーバーコネクタポートを追加します。これが`true`に設定されている場合、`allow`および`deny`で構成された式は、`ADDRESS;PORT`と比較されます。ここで、`ADDRESS`はクライアントIPアドレス、`PORT`はリクエストを受信したTomcatコネクタポートです。デフォルト値は`false`です。

リクエストを拒否する必要がある場合は、拒否する代わりに、無効な`authentication`ヘッダーを設定します。これは、コンテキストに属性`preemptiveAuthentication="true"`が設定されている場合にのみ機能します。既存の`authentication`ヘッダーは上書きされません。実際には、アプリケーションにセキュリティ制約が構成されていない場合でも、拒否する代わりに認証がトリガーされます。

これは`addConnectorPort`と組み合わせて、クライアントとアプリケーションへのアクセスに使用されるコネクタに応じて認証をトリガーすることができます。

クライアントIPアドレスの代わりに接続ピアアドレスを使用します。Tomcatの前にリバースプロキシがAJPプロトコル、またはHTTPプロトコルと`RemoteIp(Valve|Filter)`の組み合わせで使用されている場合、これらは異なります。

使用する実装のJavaクラス名。これは **org.apache.catalina.valves.LoadBalancerDrainingValve** に設定する必要があります。

クライアントがロードバランサーによってリバランスされるようにリダイレクトされる際に使用されるカスタムリダイレクトコードを設定できます。デフォルトは307 TEMPORARY_REDIRECTです。

ignoreCookieValueと一緒に使用すると、クライアントはこのCookie（および付随する値）を提示することで、このValveが何もしないようにすることができます。これにより、*disabled* ノードを再び有効にする前にプローブして、期待どおりに動作していることを確認できます。

ignoreCookieNameと一緒に使用すると、クライアントはCookie（および付随する値）を提示することで、このValveが何もしないようにすることができます。これにより、*disabled* ノードを再び有効にする前にプローブして、期待どおりに動作していることを確認できます。

使用する実装のJavaクラス名。これは **org.apache.catalina.valves.RemoteIpValve** に設定する必要があります。

リクエスト元のクライアントから始まる、通過したIPアドレスのリストを保持する、このValveによって読み取られるHTTPヘッダーの名前。指定しない場合、デフォルトの `x-forwarded-for` が使用されます。

プロキシのIPアドレスが内部プロキシと見なされるために一致する必要がある正規表現（ `java.util.regex` を使用）。 **remoteIpHeader** に表示される内部プロキシは信頼され、 **proxiesHeader** 値には表示されません。指定しない場合、デフォルト値の ` 10\.\d{1,3}\.\d{1,3}\.\d{1,3}|192\.168\.\d{1,3}\.\d{1,3}|169\.254\.\d{1,3}\.\d{1,3}|127\.\d{1,3}\.\d{1,3}\.\d{1,3}|100\.6[4-9]{1}\.\d{1,3}\.\d{1,3}|100\.[7-9]{1}\d{1}\.\d{1,3}\.\d{1,3}|100\.1[0-1]{1}\d{1}\.\d{1,3}\.\d{1,3}|100\.12[0-7]{1}\.\d{1,3}\.\d{1,3}|172\.1[6-9]{1}\.\d{1,3}\.\d{1,3}|172\.2[0-9]{1}\.\d{1,3}\.\d{1,3}|172\.3[0-1]{1}\.\d{1,3}\.\d{1,3}|0:0:0:0:0:0:0:1 ` が使用されます。

受信 **remoteIpHeader** で処理されたプロキシのリストを保持するために、このValveによって作成されるHTTPヘッダーの名前。指定しない場合、デフォルトの `x-forwarded-by` が使用されます。

AccessLog実装で使用されるリクエスト属性を設定して、リモートアドレス、リモートホスト、サーバーポート、およびプロトコルに対してリクエストによって返される値をオーバーライドするには、 `true` に設定します。リクエスト属性は、転送されたリモートアドレスをマネージャーWebアプリケーションのステータスページに表示できるようにするためにも使用されます。設定しない場合、デフォルト値の `true` が使用されます。

プロキシのIPアドレスが信頼できるプロキシと見なされるために一致する必要がある正規表現（`java.util.regex`を使用）。 **remoteIpHeader** に表示される信頼できるプロキシは信頼され、 **proxiesHeader** 値に表示されます。指定しない場合、プロキシは信頼されません。

クライアントがプロキシに接続するために使用するプロトコルを保持する、このValveによって読み取られるHTTPヘッダーの名前。指定しない場合、デフォルトの `X-Forwarded-Proto` が使用されます。

クライアントがプロキシに接続するために使用するホストを保持する、このValveによって読み取られるHTTPヘッダーの名前。指定しない場合、デフォルトの `null` が使用されます。

クライアントがプロキシに接続するために使用するポートを保持する、このValveによって読み取られるHTTPヘッダーの名前。指定しない場合、デフォルトの `null` が使用されます。

HTTPSリクエストであることを示す **protocolHeader** の値。指定しない場合、デフォルトの `https` が使用されます。

**protocolHeader** が `http` プロトコルを示し、 **portHeader** が存在しない場合に `ServletRequest.getServerPort()` によって返される値。指定しない場合、デフォルトの `80` が使用されます。

**protocolHeader** が `https` プロトコルを示し、 **portHeader** が存在しない場合に `ServletRequest.getServerPort()` によって返される値。指定しない場合、デフォルトの `443` が使用されます。

`true` の場合、 `ServletRequest.getLocalHost()` および `ServletRequest.getServerHost()` によって返される値は、このValveによって変更されます。指定しない場合、デフォルトの `false` が使用されます。

`true` の場合、 `ServletRequest.getLocalPort()` および `ServletRequest.getServerPort()` によって返される値は、このValveによって変更されます。指定しない場合、デフォルトの `false` が使用されます。

使用する実装のJavaクラス名。これは **org.apache.catalina.valves.SSLValve** に設定する必要があります。

ssl_client_certヘッダーのカスタム名を設定できます。指定しない場合、デフォルトの `ssl_client_cert` が使用されます。

ssl_client_escaped_certヘッダーのカスタム名を設定できます。指定しない場合、デフォルトの `ssl_client_escaped_cert` が使用されます。

このヘッダーは、Nginxプロキシに役立ち、ssl_client_certヘッダーよりも優先されます。

ssl_cipherヘッダーのカスタム名を設定できます。指定しない場合、デフォルトの `ssl_cipher` が使用されます。

ssl_session_idヘッダーのカスタム名を設定できます。指定しない場合、デフォルトの `ssl_session_id` が使用されます。

ssl_cipher_usekeysizeヘッダーのカスタム名を設定できます。指定しない場合、デフォルトの `ssl_cipher_usekeysize` が使用されます。

CORS プリフライトリクエストと思われるリクエストが、CORS 仕様で要求されるように、認証者をバイパスすることを許可するかどうか。許可される値は never、filter、always です。never は、CORS プリフライトリクエストのように見えても、リクエストが認証をバイパスしないことを意味します。filter は、リクエストが CORS プリフライトリクエストのように見え、CORS フィルターが有効になっており、/* にマッピングされている Web アプリケーションにマッピングされている場合、リクエストが認証をバイパスすることを意味します。always は、CORS プリフライトリクエストのように見えるすべてのリクエストが認証をバイパスすることを意味します。設定しない場合、デフォルト値は never です。

ユーザーが認証されたら、常にセッションを使用する必要があるかどうか。認証されたプリンシパルをキャッシュするためにセッションを使用できるため、パフォーマンスが向上する可能性があります。そのため、すべてのリクエストでレルムを介してユーザーを認証する必要がなくなります。これは、JNDI レルムまたはデータソースレルムと組み合わせて BASIC 認証を使用する場合などに役立ちます。ただし、セッションの作成と GC に伴うパフォーマンスコストも発生します。設定しない場合、デフォルト値の false が使用されます。

リクエストが HTTP セッションの一部である場合、認証されたプリンシパルをキャッシュする必要があるかどうか。指定しない場合、デフォルト値の true が使用されます。

ユーザーが認証された時点でセッションが存在する場合、セッション ID を変更するかどうかを制御します。これは、セッション固定攻撃を防ぐためです。設定しない場合、デフォルト値の true が使用されます。

RFC 7617 に従って、WWW-Authenticate HTTP ヘッダーに charset 認証パラメーターを含めるかどうかを制御します。許可されるオプションは、null、空の文字列、および UTF-8 のみです。UTF-8 が指定されている場合、charset 認証パラメーターはその値で送信され、提供されたユーザー名とオプションのパスワードは UTF-8 を使用してバイトから文字に変換されます。それ以外の場合、charset 認証パラメーターは送信されず、提供されたユーザー名とオプションのパスワードは ISO-8859-1 を使用してバイトから文字に変換されます。デフォルト値は null です。

使用する実装の Java クラス名。これは org.apache.catalina.authenticator.BasicAuthenticator に設定する必要があります。

セキュリティ制約によって保護されているページのキャッシュを制御します。これを false に設定すると、一部のブラウザのキャッシュの問題を回避できますが、セキュリティで保護されたページがプロキシによってキャッシュされるため、ほぼ確実にセキュリティ上の問題が発生します。securePagesWithPragma は、ブラウザのキャッシュの問題に対する代替の安全な回避策を提供します。設定しない場合、デフォルト値の true が使用されます。

JASPIC が使用する必要がある javax.security.auth.callback.CallbackHandler 実装の Java クラスの名前。何も指定されていない場合は、デフォルトの org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl が使用されます。

セキュリティ制約によって保護されているページのキャッシュを制御します。これを false に設定すると、デフォルトの Pragma: No-cache および Cache-control: No-cache ではなく Cache-Control: private を使用することで、一部のブラウザのキャッシュの問題を回避できます。設定しない場合、デフォルト値の false が使用されます。

セッション ID を生成する java.security.SecureRandom インスタンスを作成するために使用するアルゴリズムの名前。無効なアルゴリズムまたはプロバイダーが指定されている場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定しない場合、デフォルトアルゴリズムの SHA1PRNG が使用されます。デフォルトアルゴリズムがサポートされていない場合は、プラットフォームのデフォルトが使用されます。プラットフォームのデフォルトを使用するように指定するには、secureRandomProvider 属性を設定せず、この属性を空の文字列に設定します。

SSO セッション ID を生成するために使用する java.security.SecureRandom を拡張する Java クラスの名前。指定しない場合、デフォルト値は java.security.SecureRandom です。

SSO セッション ID を生成する java.security.SecureRandom インスタンスを作成するために使用するプロバイダーの名前。無効なアルゴリズムまたはプロバイダーが指定されている場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定しない場合、プラットフォームのデフォルトプロバイダーが使用されます。

転送/プロキシされたリクエストのレスポンスヘッダーとして認証情報（リモートユーザーと認証タイプ）を返すかどうかを制御します。RemoteIpValve または RemoteIpFilter が Globals.REQUEST_FORWARDED_ATTRIBUTE で転送されたリクエストをマークすると、この認証者は HttpServletRequest.getRemoteUser() および HttpServletRequest.getAuthType() の値をレスポンスヘッダー remote-user および auth-type としてリバースプロキシに返すことができます。これは、たとえば、アクセスログの整合性やその他の決定を行う場合に役立ちます。指定しない場合、デフォルト値は false です。

解析された資格情報から先頭または末尾の空白を削除するかどうかを制御します。指定しない場合、デフォルト値は false です。

注: この属性は Tomcat 11 以降で削除されます。

認証プロセスに使用されるダイジェストアルゴリズムのカンマ区切りリスト。アルゴリズムは、Java 標準名または RFC 7616 で使用される名前を使用して指定できます。指定しない場合、デフォルト値の SHA-256,MD5 が使用されます。

CORS プリフライトリクエストと思われるリクエストが、CORS 仕様で要求されるように、認証者をバイパスすることを許可するかどうか。許可される値は never、filter、always です。never は、CORS プリフライトリクエストのように見えても、リクエストが認証をバイパスしないことを意味します。filter は、リクエストが CORS プリフライトリクエストのように見え、CORS フィルターが有効になっており、/* にマッピングされている Web アプリケーションにマッピングされている場合、リクエストが認証をバイパスすることを意味します。always は、CORS プリフライトリクエストのように見えるすべてのリクエストが認証をバイパスすることを意味します。設定しない場合、デフォルト値は never です。

ユーザーが認証されたら、常にセッションを使用する必要があるかどうか。認証されたプリンシパルをキャッシュするためにセッションを使用できるため、パフォーマンスが向上する可能性があります。そのため、すべてのリクエストでレルムを介してユーザーを認証する必要がなくなります。これは、JNDI レルムまたはデータソースレルムと組み合わせて BASIC 認証を使用する場合などに役立ちます。ただし、セッションの作成と GC に伴うパフォーマンスコストも発生します。設定しない場合、デフォルト値の false が使用されます。

リクエストが HTTP セッションの一部である場合、認証されたプリンシパルをキャッシュする必要があるかどうか。指定しない場合、デフォルト値の false が使用されます。

ユーザーが認証された時点でセッションが存在する場合、セッション ID を変更するかどうかを制御します。これは、セッション固定攻撃を防ぐためです。設定しない場合、デフォルト値の true が使用されます。

使用する実装の Java クラス名。これは org.apache.catalina.authenticator.DigestAuthenticator に設定する必要があります。

セキュリティ制約によって保護されているページのキャッシュを制御します。これを false に設定すると、一部のブラウザのキャッシュの問題を回避できますが、セキュリティで保護されたページがプロキシによってキャッシュされるため、ほぼ確実にセキュリティ上の問題が発生します。securePagesWithPragma は、ブラウザのキャッシュの問題に対する代替の安全な回避策を提供します。設定しない場合、デフォルト値の true が使用されます。

JASPIC が使用する必要がある javax.security.auth.callback.CallbackHandler 実装の Java クラスの名前。何も指定されていない場合は、デフォルトの org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl が使用されます。

ダイジェスト認証で使用される秘密鍵。設定されていない場合は、安全なランダム値が生成されます。これは通常、サーバーの再起動時またはクラスタ全体でキー値を一定に保つ必要がある場合にのみ設定する必要があります。

リプレイ攻撃から保護するため、DIGEST 認証子はサーバー nonce と nonce カウント値を追跡します。この属性は、そのキャッシュのサイズを制御します。指定しない場合、デフォルト値の 1000 が使用されます。

クライアントリクエストは順序どおりに処理されない場合があり、そのため nonce カウント値が順序どおりに処理されない場合があります。nonce カウントが順序どおりに提示された場合の認証エラーを防ぐため、認証子は nonce カウント値のウィンドウを追跡します。この属性は、そのウィンドウの大きさを制御します。指定しない場合、デフォルト値の 100 が使用されます。

サーバーで生成された nonce が認証に使用できる有効期間（ミリ秒単位）。指定しない場合、デフォルト値の 300000（5 分）が使用されます。

ダイジェスト認証で使用される opaque サーバー文字列。設定されていない場合は、ランダム値が生成されます。これは通常、サーバーの再起動時またはクラスタ全体で opaque 値を一定に保つ必要がある場合にのみ設定する必要があります。

セキュリティ制約によって保護されているページのキャッシュを制御します。これを false に設定すると、デフォルトの Pragma: No-cache および Cache-control: No-cache ではなく Cache-Control: private を使用することで、一部のブラウザのキャッシュの問題を回避できます。設定しない場合、デフォルト値の false が使用されます。

セッション ID を生成する java.security.SecureRandom インスタンスを作成するために使用するアルゴリズムの名前。無効なアルゴリズムまたはプロバイダーが指定されている場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定しない場合、デフォルトアルゴリズムの SHA1PRNG が使用されます。デフォルトアルゴリズムがサポートされていない場合は、プラットフォームのデフォルトが使用されます。プラットフォームのデフォルトを使用するように指定するには、secureRandomProvider 属性を設定せず、この属性を空の文字列に設定します。

SSO セッション ID を生成するために使用する java.security.SecureRandom を拡張する Java クラスの名前。指定しない場合、デフォルト値は java.security.SecureRandom です。

SSO セッション ID を生成する java.security.SecureRandom インスタンスを作成するために使用するプロバイダーの名前。無効なアルゴリズムまたはプロバイダーが指定されている場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定しない場合、プラットフォームのデフォルトプロバイダーが使用されます。

転送/プロキシされたリクエストのレスポンスヘッダーとして認証情報（リモートユーザーと認証タイプ）を返すかどうかを制御します。RemoteIpValve または RemoteIpFilter が Globals.REQUEST_FORWARDED_ATTRIBUTE で転送されたリクエストをマークすると、この認証者は HttpServletRequest.getRemoteUser() および HttpServletRequest.getAuthType() の値をレスポンスヘッダー remote-user および auth-type としてリバースプロキシに返すことができます。これは、たとえば、アクセスログの整合性やその他の決定を行う場合に役立ちます。指定しない場合、デフォルト値は false です。

RFC2617 で要求されているように、URI を検証する必要があるかどうか。指定しない場合、デフォルト値の true が使用されます。これは通常、Tomcat がリバースプロキシの背後にあり、プロキシが Tomcat に渡される URI を変更して DIGEST 認証が常に失敗する場合にのみ設定する必要があります。

CORS プリフライトリクエストと思われるリクエストが、CORS 仕様で要求されるように、認証者をバイパスすることを許可するかどうか。許可される値は never、filter、always です。never は、CORS プリフライトリクエストのように見えても、リクエストが認証をバイパスしないことを意味します。filter は、リクエストが CORS プリフライトリクエストのように見え、CORS フィルターが有効になっており、/* にマッピングされている Web アプリケーションにマッピングされている場合、リクエストが認証をバイパスすることを意味します。always は、CORS プリフライトリクエストのように見えるすべてのリクエストが認証をバイパスすることを意味します。設定しない場合、デフォルト値は never です。

認証プロセスでセッションが作成される場合、これは認証プロセス中の最大セッションタイムアウト（秒単位）です。認証が完了すると、デフォルトのセッションタイムアウトが適用されます。認証プロセスが開始される前に存在するセッションは、全体を通して元のセッションタイムアウトを保持します。設定しない場合、デフォルト値の 120 秒が使用されます。

ユーザーが認証された時点でセッションが存在する場合、セッション ID を変更するかどうかを制御します。これは、セッション固定攻撃を防ぐためです。設定しない場合、デフォルト値の true が使用されます。

リクエストからユーザー名とパスワードのパラメーターを読み取るために使用する文字エンコーディング。設定されていない場合は、リクエスト本文のエンコーディングが使用されます。

使用する実装の Java クラス名。これは **org.apache.catalina.authenticator.FormAuthenticator** に設定する必要があります。

セキュリティ制約によって保護されているページのキャッシュを制御します。これを false に設定すると、一部のブラウザのキャッシュの問題を回避できますが、セキュリティで保護されたページがプロキシによってキャッシュされるため、ほぼ確実にセキュリティ上の問題が発生します。securePagesWithPragma は、ブラウザのキャッシュの問題に対する代替の安全な回避策を提供します。設定しない場合、デフォルト値の true が使用されます。

JASPIC が使用する必要がある javax.security.auth.callback.CallbackHandler 実装の Java クラスの名前。何も指定されていない場合は、デフォルトの org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl が使用されます。

ログインページを直接リクエストしたり、ログインを長時間遅らせてセッションが期限切れになったりするなど、FORM 認証プロセスが誤用された場合の動作を制御します。この属性が設定されている場合、エラーレスポンスコードを返すのではなく、有効な資格情報でログインフォームが送信された場合、Tomcat はユーザーを指定されたランディングページにリダイレクトします。ログインを処理するには、ランディングページが保護されたリソース（つまり、認証が必要なリソース）である必要があります。ランディングページに認証が必要ない場合、ユーザーはログインせず、保護されたページにアクセスしたときに資格情報の入力を再び求められます。

セキュリティ制約によって保護されているページのキャッシュを制御します。これを false に設定すると、デフォルトの Pragma: No-cache および Cache-control: No-cache ではなく Cache-Control: private を使用することで、一部のブラウザのキャッシュの問題を回避できます。設定しない場合、デフォルト値の false が使用されます。

セッション ID を生成する java.security.SecureRandom インスタンスを作成するために使用するアルゴリズムの名前。無効なアルゴリズムまたはプロバイダーが指定されている場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定しない場合、デフォルトアルゴリズムの SHA1PRNG が使用されます。デフォルトアルゴリズムがサポートされていない場合は、プラットフォームのデフォルトが使用されます。プラットフォームのデフォルトを使用するように指定するには、secureRandomProvider 属性を設定せず、この属性を空の文字列に設定します。

SSO セッション ID を生成するために使用する java.security.SecureRandom を拡張する Java クラスの名前。指定しない場合、デフォルト値は java.security.SecureRandom です。

SSO セッション ID を生成する java.security.SecureRandom インスタンスを作成するために使用するプロバイダーの名前。無効なアルゴリズムまたはプロバイダーが指定されている場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定しない場合、プラットフォームのデフォルトプロバイダーが使用されます。

転送/プロキシされたリクエストのレスポンスヘッダーとして認証情報（リモートユーザーと認証タイプ）を返すかどうかを制御します。RemoteIpValve または RemoteIpFilter が Globals.REQUEST_FORWARDED_ATTRIBUTE で転送されたリクエストをマークすると、この認証者は HttpServletRequest.getRemoteUser() および HttpServletRequest.getAuthType() の値をレスポンスヘッダー remote-user および auth-type としてリバースプロキシに返すことができます。これは、たとえば、アクセスログの整合性やその他の決定を行う場合に役立ちます。指定しない場合、デフォルト値は false です。

CORS プリフライトリクエストと思われるリクエストが、CORS 仕様で要求されるように、認証者をバイパスすることを許可するかどうか。許可される値は never、filter、always です。never は、CORS プリフライトリクエストのように見えても、リクエストが認証をバイパスしないことを意味します。filter は、リクエストが CORS プリフライトリクエストのように見え、CORS フィルターが有効になっており、/* にマッピングされている Web アプリケーションにマッピングされている場合、リクエストが認証をバイパスすることを意味します。always は、CORS プリフライトリクエストのように見えるすべてのリクエストが認証をバイパスすることを意味します。設定しない場合、デフォルト値は never です。

リクエストが HTTP セッションの一部である場合、認証されたプリンシパルをキャッシュする必要があるかどうか。指定しない場合、デフォルト値の true が使用されます。

使用する実装の Java クラス名。これは **org.apache.catalina.authenticator.SSLAuthenticator** に設定する必要があります。

ユーザーが認証された時点でセッションが存在する場合、セッション ID を変更するかどうかを制御します。これは、セッション固定攻撃を防ぐためです。設定しない場合、デフォルト値の true が使用されます。

セキュリティ制約によって保護されているページのキャッシュを制御します。これを false に設定すると、一部のブラウザのキャッシュの問題を回避できますが、セキュリティで保護されたページがプロキシによってキャッシュされるため、ほぼ確実にセキュリティ上の問題が発生します。securePagesWithPragma は、ブラウザのキャッシュの問題に対する代替の安全な回避策を提供します。設定しない場合、デフォルト値の true が使用されます。

JASPIC が使用する必要がある javax.security.auth.callback.CallbackHandler 実装の Java クラスの名前。何も指定されていない場合は、デフォルトの org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl が使用されます。

セキュリティ制約によって保護されているページのキャッシュを制御します。これを false に設定すると、デフォルトの Pragma: No-cache および Cache-control: No-cache ではなく Cache-Control: private を使用することで、一部のブラウザのキャッシュの問題を回避できます。設定しない場合、デフォルト値の false が使用されます。

セッション ID を生成する java.security.SecureRandom インスタンスを作成するために使用するアルゴリズムの名前。無効なアルゴリズムまたはプロバイダーが指定されている場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定しない場合、デフォルトアルゴリズムの SHA1PRNG が使用されます。デフォルトアルゴリズムがサポートされていない場合は、プラットフォームのデフォルトが使用されます。プラットフォームのデフォルトを使用するように指定するには、secureRandomProvider 属性を設定せず、この属性を空の文字列に設定します。

SSO セッション ID を生成するために使用する java.security.SecureRandom を拡張する Java クラスの名前。指定しない場合、デフォルト値は java.security.SecureRandom です。

SSO セッション ID を生成する java.security.SecureRandom インスタンスを作成するために使用するプロバイダーの名前。無効なアルゴリズムまたはプロバイダーが指定されている場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定しない場合、プラットフォームのデフォルトプロバイダーが使用されます。

CORS プリフライトリクエストと思われるリクエストが、CORS 仕様で要求されるように、認証者をバイパスすることを許可するかどうか。許可される値は never、filter、always です。never は、CORS プリフライトリクエストのように見えても、リクエストが認証をバイパスしないことを意味します。filter は、リクエストが CORS プリフライトリクエストのように見え、リクエストがマッピングされている Web アプリケーションで CORS フィルター が有効になっており、/* にマッピングされている場合、リクエストが認証をバイパスすることを意味します。always は、CORS プリフライトリクエストのように見えるすべてのリクエストが認証をバイパスすることを意味します。設定しない場合、デフォルト値は never です。

ユーザーが認証されたら、常にセッションを使用する必要があるかどうか。認証されたプリンシパルをキャッシュするためにセッションを使用できるため、パフォーマンスが向上する可能性があります。そのため、すべてのリクエストでユーザーを認証する必要がなくなります。これは、サーバーが認証済みユーザーをキャッシュすると想定しているクライアントにも役立ちます。ただし、セッションの作成と GC に伴うパフォーマンスコストも発生します。代替ソリューションについては、noKeepAliveUserAgents を参照してください。設定しない場合、デフォルト値の false が使用されます。

Java 8 update 40 ( JDK-8048194) 以降に導入された修正により、Windows 2008 R2 サーバーで Tomcat を実行している IE の SPNEGO 認証が壊れました。このオプションは、SPNEGO 認証が引き続き機能することを可能にする回避策を有効にします。回避策は他の構成に影響を与えるべきではないため、デフォルトで有効になっています。必要に応じて、この属性を false に設定することで回避策を無効にすることができます。

リクエストが HTTP セッションの一部である場合、認証されたプリンシパルをキャッシュする必要があるかどうか。指定しない場合、デフォルト値の true が使用されます。

使用する実装の Java クラス名。これは **org.apache.catalina.authenticator.SpnegoAuthenticator** に設定する必要があります。

ユーザーが認証された時点でセッションが存在する場合、セッション ID を変更するかどうかを制御します。これは、セッション固定攻撃を防ぐためです。設定しない場合、デフォルト値の true が使用されます。

セキュリティ制約によって保護されているページのキャッシュを制御します。これを false に設定すると、一部のブラウザのキャッシュの問題を回避できますが、セキュリティで保護されたページがプロキシによってキャッシュされるため、ほぼ確実にセキュリティ上の問題が発生します。securePagesWithPragma は、ブラウザのキャッシュの問題に対する代替の安全な回避策を提供します。設定しない場合、デフォルト値の true が使用されます。

JASPIC が使用する必要がある javax.security.auth.callback.CallbackHandler 実装の Java クラスの名前。何も指定されていない場合は、デフォルトの org.apache.catalina.authenticator.jaspic.CallbackHandlerImpl が使用されます。

サービスとしてログインするために使用されるJAASログイン設定の名前です。指定しない場合、デフォルトのcom.sun.security.jgss.krb5.acceptが使用されます。

一部のクライアント（ほとんどのブラウザではありません）は、サーバーが接続の認証済みユーザー情報をキャッシュし、すべてのリクエストで資格情報を再送信しないことを期待しています。Tomcatは、HTTPセッションが利用可能な場合を除き、これを実行しません。セッションは、アプリケーションがセッションを作成するか、この認証器でalwaysUseSessionが有効になっている場合に利用可能です。

セッションを作成する代わりに、この属性を使用して、HTTPキープアライブが無効になっているユーザーエージェントを定義できます。これは、接続が単一のリクエストにのみ使用されるため、接続ごとに認証済みユーザー情報をキャッシュする機能がないことを意味します。HTTPキープアライブを無効にすると、パフォーマンスコストが発生します。

この属性は、ユーザーエージェント文字列全体に一致する正規表現である必要があります（例：.*Chrome.*）。指定しない場合、正規表現は定義されず、HTTPキープアライブが無効になるユーザーエージェントはありません。

セキュリティ制約によって保護されているページのキャッシュを制御します。これを false に設定すると、デフォルトの Pragma: No-cache および Cache-control: No-cache ではなく Cache-Control: private を使用することで、一部のブラウザのキャッシュの問題を回避できます。設定しない場合、デフォルト値の false が使用されます。

セッション ID を生成する java.security.SecureRandom インスタンスを作成するために使用するアルゴリズムの名前。無効なアルゴリズムまたはプロバイダーが指定されている場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定しない場合、デフォルトアルゴリズムの SHA1PRNG が使用されます。デフォルトアルゴリズムがサポートされていない場合は、プラットフォームのデフォルトが使用されます。プラットフォームのデフォルトを使用するように指定するには、secureRandomProvider 属性を設定せず、この属性を空の文字列に設定します。

SSO セッション ID を生成するために使用する java.security.SecureRandom を拡張する Java クラスの名前。指定しない場合、デフォルト値は java.security.SecureRandom です。

SSO セッション ID を生成する java.security.SecureRandom インスタンスを作成するために使用するプロバイダーの名前。無効なアルゴリズムまたはプロバイダーが指定されている場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定しない場合、プラットフォームのデフォルトプロバイダーが使用されます。

転送/プロキシされたリクエストのレスポンスヘッダーとして認証情報（リモートユーザーと認証タイプ）を返すかどうかを制御します。RemoteIpValve または RemoteIpFilter が Globals.REQUEST_FORWARDED_ATTRIBUTE で転送されたリクエストをマークすると、この認証者は HttpServletRequest.getRemoteUser() および HttpServletRequest.getAuthType() の値をレスポンスヘッダー remote-user および auth-type としてリバースプロキシに返すことができます。これは、たとえば、アクセスログの整合性やその他の決定を行う場合に役立ちます。指定しない場合、デフォルト値は false です。

ユーザーの委任された資格情報をユーザーPrincipalに格納するかどうかを制御します。使用可能な場合、委任された資格情報は、org.apache.catalina.realm.GSS_CREDENTIALリクエスト属性を介してアプリケーション（外部サービスへの認証など）で利用できます。設定されていない場合、デフォルト値のtrueが使用されます。