Apache Tomcat 11 設定リファレンス

ロギングがバッファリングされるかどうかを決定するフラグ。falseに設定されている場合、アクセスロギングは各リクエスト後に書き込まれます。デフォルト値: true

使用する実装の Java クラス名。デフォルトのアクセスログバルブを使用するには、これをorg.apache.catalina.valves.AccessLogValveに設定する必要があります。

conditionUnlessと同じです。この属性は下位互換性のために提供されています。

条件付きロギングを有効にします。設定されている場合、リクエストはServletRequest.getAttribute()が null でない場合にのみログに記録されます。たとえば、この値がimportantに設定されている場合、特定のリクエストはServletRequest.getAttribute("important") != nullの場合にのみログに記録されます。フィルタを使用すると、さまざまなリクエストで ServletRequest の属性を設定/解除する簡単な方法です。

条件付きロギングを有効にします。設定されている場合、リクエストはServletRequest.getAttribute()が null の場合にのみログに記録されます。たとえば、この値がjunkに設定されている場合、特定のリクエストはServletRequest.getAttribute("junk") == nullの場合にのみログに記録されます。フィルタを使用すると、さまざまなリクエストで ServletRequest の属性を設定/解除する簡単な簡単な方法です。

このバルブによって作成されたログファイルが配置されるディレクトリの絶対パスまたは相対パス名。相対パスが指定されている場合、$CATALINA_BASEからの相対パスとして解釈されます。directory 属性が指定されていない場合、デフォルト値は "logs" ($CATALINA_BASEからの相対パス) です。

ログファイルの書き込みに使用される文字セット。空の文字列はデフォルトの文字セットを使用することを意味します。デフォルト値: UTF-8。

アクセスログファイル名にカスタムタイムスタンプを許可します。フォーマットされたタイムスタンプが変更されるたびにファイルがローテーションされます。デフォルト値は.yyyy-MM-ddです。毎時ローテーションしたい場合は、この値を.yyyy-MM-dd.HHに設定してください。日付形式は常にロケールen_USを使用してローカライズされます。

IPv6アドレスを RFC 5952 で定義されている正規表現形式で表すかどうかを決定するフラグ。true に設定されている場合、IPv6アドレスは正規形式（例: 2001:db8::1:0:0:1、::1）で書き込まれ、そうでない場合は完全形式（例: 2001:db8:0:0:1:0:0:1、0:0:0:0:0:0:0:1）で表されます。デフォルト値: false

アクセスログ行のタイムスタンプのフォーマットに使用されるロケール。明示的な SimpleDateFormat パターン（%{xxx}t）を使用して構成されたタイムスタンプは、このロケールでフォーマットされます。デフォルトでは、Java プロセスのデフォルトロケールが使用されます。AccessLogValve が初期化された後にロケールを切り替えることはサポートされていません。一般的なログ形式（CLF）を使用するタイムスタンプは、常にロケールen_USでフォーマットされます。

ローテーションされたアクセスログが削除されるまでに保持される最大日数。指定されていない場合、古いファイルを削除しないことを意味するデフォルト値-1が使用されます。

ログメッセージバッファは通常、再利用されます。過剰なメモリ使用量を防ぐため、バッファがこのサイズを超えて大きくなった場合は破棄されます。デフォルトは256文字です。これは、一般的なアクセスログメッセージサイズよりも大きく設定する必要があります。

リクエストとレスポンスからログに記録されるさまざまな情報フィールドを識別するフォーマットレイアウト、または標準形式を選択するためのcommonまたはcombinedという単語。この属性の設定に関する詳細については、以下を参照してください。

各ログファイル名の先頭に追加されるプレフィックス。指定されていない場合、デフォルト値は "access_log" です。

デフォルトでは、ローテーション可能なログの場合、アクティブなアクセスログファイル名にはfileDateFormatで現在のタイムスタンプが含まれます。ローテーション中にファイルは閉じられ、名前の次のタイムスタンプを持つ新しいファイルが作成され、使用されます。renameOnRotateをtrueに設定すると、タイムスタンプはアクティブなログファイル名の一部ではなくなります。ローテーション中にのみファイルが閉じられ、その後タイムスタンプを含むように名前が変更されます。これは、ほとんどのログフレームワークが時間ベースのローテーションを行う場合の動作に似ています。デフォルト値: false

リクエスト属性（通常、RemoteIpValve などによって設定される）が存在するかどうかを確認するためにtrueに設定します。これらの属性は、リモートアドレス、リモートホスト、サーバーポート、プロトコルについてリクエストによって返される値をオーバーライドするために使用されます。属性が設定されていない場合、またはこの属性がfalseに設定されている場合、リクエストからの値が使用されます。設定されていない場合、デフォルト値のfalseが使用されます。

この属性はサポートされなくなりました。代わりにコネクタ属性enableLookupsを使用してください。

コネクタのenableLookupsがtrueに設定されており、それを無視したい場合は、patternの値で%hの代わりに%aを使用してください。

ログローテーションを行うかどうかを決定するフラグ。falseに設定されている場合、このファイルは決してローテーションされず、fileDateFormatは無視されます。デフォルト値: true

各ログファイル名の末尾に追加されるサフィックス。指定されていない場合、デフォルト値は "" (ゼロ長の文字列) で、サフィックスが追加されないことを意味します。

使用する実装の Java クラス名。拡張アクセスログバルブを使用するには、これをorg.apache.catalina.valves.ExtendedAccessLogValveに設定する必要があります。

リクエストとレスポンスからログに記録されるさまざまな情報フィールドを識別するフォーマットレイアウト。この属性の設定に関する詳細については、以下を参照してください。

使用する実装のJavaクラス名。拡張アクセスログバルブを使用するには、org.apache.catalina.valves.JsonAccessLogValveに設定する必要があります。

使用する実装のJavaクラス名。これはorg.apache.catalina.valves.RemoteAddrValveに設定する必要があります。

リモートクライアントのIPアドレスと比較される正規表現（java.util.regexを使用）。この属性が指定されている場合、このリクエストが受け入れられるためにはリモートアドレスが一致する必要があります。この属性が指定されていない場合、リモートアドレスがdenyパターンに一致しない限り、すべてのリクエストが受け入れられます。

リモートクライアントのIPアドレスと比較される正規表現（java.util.regexを使用）。この属性が指定されている場合、このリクエストが受け入れられるためにはリモートアドレスが一致してはなりません。この属性が指定されていない場合、リクエストの受け入れはallow属性によってのみ制御されます。

拒否されたリクエストを拒否する際に使用されるHTTPレスポンスステータスコード。デフォルト値は403です。例えば、404に設定することもできます。

サーバーコネクタポートをセミコロン（";"）で区切ってクライアントIPアドレスに追加します。これをtrueに設定すると、allowおよびdenyで設定された式は、ADDRESS;PORTと比較されます。ここでADDRESSはクライアントIPアドレス、PORTはリクエストを受信したTomcatコネクタポートです。デフォルト値はfalseです。

リクエストが拒否されるべき場合に、拒否する代わりに無効なauthenticationヘッダーを設定します。これは、コンテキストに属性preemptiveAuthentication="true"が設定されている場合にのみ機能します。既存のauthenticationヘッダーは上書きされません。実質的に、アプリケーションにセキュリティ制約が設定されていない場合でも、拒否ではなく認証がトリガーされます。

これはaddConnectorPortと組み合わせて、クライアントやアプリケーションへのアクセスに使用されるコネクタに応じて認証をトリガーすることができます。

クライアントIPアドレスの代わりに接続ピアアドレスを使用します。Tomcatの前にリバースプロキシがAJPプロトコル、またはHTTPプロトコルとRemoteIp(Valve|Filter)のいずれかと組み合わせて使用されている場合、それらは異なります。

使用する実装のJavaクラス名。これはorg.apache.catalina.valves.RemoteHostValveに設定する必要があります。

リモートクライアントのホスト名と比較される正規表現（java.util.regexを使用）。この属性が指定されている場合、このリクエストが受け入れられるためにはリモートホスト名が一致する必要があります。この属性が指定されていない場合、リモートホスト名がdenyパターンに一致しない限り、すべてのリクエストが受け入れられます。

リモートクライアントのホスト名と比較される正規表現（java.util.regexを使用）。この属性が指定されている場合、このリクエストが受け入れられるためにはリモートホスト名が一致してはなりません。この属性が指定されていない場合、リクエストの受け入れはallow属性によってのみ制御されます。

拒否されたリクエストを拒否する際に使用されるHTTPレスポンスステータスコード。デフォルト値は403です。例えば、404に設定することもできます。

サーバーコネクタポートをセミコロン（";"）で区切ってクライアントホスト名に追加します。これをtrueに設定すると、allowおよびdenyで設定された式は、HOSTNAME;PORTと比較されます。ここでHOSTNAMEはクライアントホスト名、PORTはリクエストを受信したTomcatコネクタポートです。デフォルト値はfalseです。

リクエストが拒否されるべき場合に、拒否する代わりに無効なauthenticationヘッダーを設定します。これは、コンテキストに属性preemptiveAuthentication="true"が設定されている場合にのみ機能します。既存のauthenticationヘッダーは上書きされません。実質的に、アプリケーションにセキュリティ制約が設定されていない場合でも、拒否ではなく認証がトリガーされます。

これはaddConnectorPortと組み合わせて、クライアントやアプリケーションへのアクセスに使用されるコネクタに応じて認証をトリガーすることができます。

使用する実装のJavaクラス名。これはorg.apache.catalina.valves.RemoteCIDRValveに設定する必要があります。

リモートクライアントのIPアドレスが照合されるIPv4またはIPv6のネットマスクまたはアドレスのカンマ区切りリスト。この属性が指定されている場合、このリクエストが受け入れられるためにはリモートアドレスが一致する必要があります。この属性が指定されていない場合、リモートIPがdeny属性のネットマスクに一致しない限り、すべてのリクエストが受け入れられます。

リモートクライアントのIPアドレスが照合されるIPv4またはIPv6のネットマスクまたはアドレスのカンマ区切りリスト。この属性が指定されている場合、このリクエストが受け入れられるためにはリモートアドレスが一致してはなりません。この属性が指定されていない場合、リクエストの受け入れはaccept属性によってのみ制御されます。

拒否されたリクエストを拒否する際に使用されるHTTPレスポンスステータスコード。デフォルト値は403です。例えば、404に設定することもできます。

サーバーコネクタポートをセミコロン（";"）で区切ってクライアントIPアドレスに追加します。これをtrueに設定すると、allowおよびdenyで設定された式は、ADDRESS;PORTと比較されます。ここでADDRESSはクライアントIPアドレス、PORTはリクエストを受信したTomcatコネクタポートです。デフォルト値はfalseです。

リクエストが拒否されるべき場合に、拒否する代わりに無効なauthenticationヘッダーを設定します。これは、コンテキストに属性preemptiveAuthentication="true"が設定されている場合にのみ機能します。既存のauthenticationヘッダーは上書きされません。実質的に、アプリケーションにセキュリティ制約が設定されていない場合でも、拒否ではなく認証がトリガーされます。

これはaddConnectorPortと組み合わせて、クライアントやアプリケーションへのアクセスに使用されるコネクタに応じて認証をトリガーすることができます。

クライアントIPアドレスの代わりに接続ピアアドレスを使用します。Tomcatの前にリバースプロキシがAJPプロトコル、またはHTTPプロトコルとRemoteIp(Valve|Filter)のいずれかと組み合わせて使用されている場合、それらは異なります。

使用する実装のJavaクラス名。これはorg.apache.catalina.valves.LoadBalancerDrainingValveに設定する必要があります。

クライアントがロードバランサーによって再バランスされるためにリダイレクトされる際に使用されるカスタムリダイレクトコードを設定できます。デフォルトは307 TEMPORARY_REDIRECTです。

ignoreCookieValueと組み合わせて使用すると、クライアントはこのバルブが何もしないようにするクッキー（および付随する値）を提示できます。これにより、無効化されたノードを再有効化する前にプローブし、期待通りに動作していることを確認できます。

ignoreCookieNameと組み合わせて使用すると、クライアントはこのバルブが何もしないようにするクッキー（および付随する値）を提示できます。これにより、無効化されたノードを再有効化する前にプローブし、期待通りに動作していることを確認できます。

使用する実装のJavaクラス名。これはorg.apache.catalina.valves.RemoteIpValveに設定する必要があります。

要求元のクライアントから始まる、経由したIPアドレスのリストを保持するこのバルブによって読み取られるHTTPヘッダーの名前。指定されていない場合、デフォルトのx-forwarded-forが使用されます。

プロキシのIPアドレスが内部プロキシと見なされるために一致しなければならない正規表現（java.util.regexを使用）。remoteIpHeaderに現れる内部プロキシは信頼され、proxiesHeader値には現れません。指定されていない場合、デフォルト値の 10\.\d{1,3}\.\d{1,3}\.\d{1,3}|192\.168\.\d{1,3}\.\d{1,3}|169\.254\.\d{1,3}\.\d{1,3}|127\.\d{1,3}\.\d{1,3}\.\d{1,3}|100\.6[4-9]{1}\.\d{1,3}\.\d{1,3}|100\.[7-9]{1}\d{1}\.\d{1,3}\.\d{1,3}|100\.1[0-1]{1}\d{1}\.\d{1,3}\.\d{1,3}|100\.12[0-7]{1}\.\d{1,3}\.\d{1,3}|172\.1[6-9]{1}\.\d{1,3}\.\d{1,3}|172\.2[0-9]{1}\.\d{1,3}\.\d{1,3}|172\.3[0-1]{1}\.\d{1,3}\.\d{1,3}|0:0:0:0:0:0:0:1|::1|fe[89ab]\p{XDigit}:.*|"f[cd]\p{XDigit}{2}+:.* が使用されます。

受信したremoteIpHeaderで処理されたプロキシのリストを保持するためにこのバルブによって作成されるHTTPヘッダーの名前。指定されていない場合、デフォルトのx-forwarded-byが使用されます。

trueに設定すると、AccessLog実装で使用されるリクエスト属性を設定し、リモートアドレス、リモートホスト、サーバーポート、およびプロトコルについてリクエストが返す値を上書きします。リクエスト属性は、転送されたリモートアドレスをManager Webアプリケーションのステータスページに表示するためにも使用されます。設定されていない場合、デフォルト値のtrueが使用されます。

プロキシのIPアドレスが信頼されたプロキシと見なされるために一致しなければならない正規表現（java.util.regexを使用）。remoteIpHeaderに現れる信頼されたプロキシは信頼され、proxiesHeader値に現れます。指定されていない場合、プロキシは信頼されません。

クライアントがプロキシに接続するために使用したプロトコルを保持するこのバルブによって読み取られるHTTPヘッダーの名前。指定されていない場合、デフォルトのX-Forwarded-Protoが使用されます。

クライアントがプロキシに接続するために使用したホストを保持するこのバルブによって読み取られるHTTPヘッダーの名前。指定されていない場合、デフォルトのnullが使用されます。

クライアントがプロキシに接続するために使用したポートを保持するこのバルブによって読み取られるHTTPヘッダーの名前。指定されていない場合、デフォルトのnullが使用されます。

HTTPSリクエストであることを示すprotocolHeaderの値。指定されていない場合、デフォルトのhttpsが使用されます。

protocolHeaderがhttpプロトコルを示し、portHeaderが存在しない場合にServletRequest.getServerPort()によって返される値。指定されていない場合、デフォルトの80が使用されます。

protocolHeaderがhttpsプロトコルを示し、portHeaderが存在しない場合にServletRequest.getServerPort()によって返される値。指定されていない場合、デフォルトの443が使用されます。

trueの場合、ServletRequest.getLocalHost()およびServletRequest.getServerHost()によって返される値がこのバルブによって変更されます。指定されていない場合、デフォルトのfalseが使用されます。

trueの場合、ServletRequest.getLocalPort()およびServletRequest.getServerPort()によって返される値がこのバルブによって変更されます。指定されていない場合、デフォルトのfalseが使用されます。

使用する実装のJavaクラス名。これはorg.apache.catalina.valves.SSLValveに設定する必要があります。

ssl_client_certヘッダーのカスタム名を指定できます。指定されていない場合、デフォルトのssl_client_certが使用されます。

ssl_client_escaped_certヘッダーのカスタム名を指定できます。指定されていない場合、デフォルトのssl_client_escaped_certが使用されます。

このヘッダーはNginxプロキシに役立ち、ssl_client_certヘッダーよりも優先されます。

ssl_cipherヘッダーのカスタム名を指定できます。指定されていない場合、デフォルトのssl_cipherが使用されます。

ssl_session_idヘッダーのカスタム名を指定できます。指定されていない場合、デフォルトのssl_session_idが使用されます。

ssl_cipher_usekeysizeヘッダーのカスタム名を指定できます。指定されていない場合、デフォルトのssl_cipher_usekeysizeが使用されます。

CORS仕様で要求されるように、CORSプリフライトリクエストと見なされるリクエストが認証をバイパスすることを許可するかどうか。許可される値はnever、filter、alwaysです。neverは、CORSプリフライトリクエストと見なされる場合でも、リクエストが認証をバイパスしないことを意味します。filterは、リクエストがCORSプリフライトリクエストと見なされ、CORSフィルターが有効になっているウェブアプリケーションにマッピングされており、リクエストがCORSフィルターマッパーのURLPatternsに一致する場合に、リクエストが認証をバイパスすることを意味します。alwaysは、CORSプリフライトリクエストと見なされるすべてのリクエストが認証をバイパスすることを意味します。設定されていない場合、デフォルト値はneverです。

ユーザーが認証されたら常にセッションを使用すべきか？これにより、セッションが認証されたプリンシパルをキャッシュするために使用できるため、すべてのリクエストでレルムを介してユーザーを認証する必要がなくなるため、いくつかのパフォーマンス上の利点が得られる可能性があります。これは、JNDIRealmまたはDataSourceRealmsとともに使用されるBASIC認証などの組み合わせに役立つ場合があります。ただし、セッションの作成とGCにもパフォーマンスコストがかかります。設定されていない場合、デフォルト値のfalseが使用されます。

リクエストがHTTPセッションの一部である場合、認証されたプリンシパルをキャッシュすべきか？指定されていない場合、デフォルト値のtrueが使用されます。

ユーザーが認証された時点でセッションが存在する場合に、セッションIDを変更するかどうかを制御します。これはセッション固定攻撃を防ぐためです。設定されていない場合、デフォルト値のtrueが使用されます。

RFC 7617に従い、WWW-Authenticate HTTPヘッダーにcharset認証パラメータを含めるかどうかを制御します。許可されるオプションはnull、空文字列、およびUTF-8のみです。UTF-8が指定されている場合、charset認証パラメータはその値とともに送信され、提供されたユーザー名とオプションのパスワードはUTF-8を使用してバイトから文字に変換されます。それ以外の場合、charset認証パラメータは送信されず、提供されたユーザー名とオプションのパスワードはISO-8859-1を使用してバイトから文字に変換されます。デフォルト値はUTF-8です。

使用する実装のJavaクラス名。これはorg.apache.catalina.authenticator.BasicAuthenticatorに設定する必要があります。

セキュリティ制約によって保護されているページのキャッシュを制御します。これをfalseに設定すると、一部のブラウザでのキャッシュ問題を回避するのに役立つ場合がありますが、保護されたページがプロキシによってキャッシュされることにもなり、ほぼ確実にセキュリティ問題を引き起こします。securePagesWithPragmaは、ブラウザのキャッシュ問題に対する別の安全な回避策を提供します。設定されていない場合、デフォルト値のtrueが使用されます。

JASPICによって使用されるべきjavax.security.auth.callback.CallbackHandler実装のJavaクラス名。指定されていない場合、デフォルトのorg.apache.catalina.authenticator.jaspic.CallbackHandlerImplが使用されます。

セキュリティ制約によって保護されているページのキャッシュを制御します。これをfalseに設定すると、デフォルトのPragma: No-cacheおよびCache-control: No-cacheではなく、Cache-Control: privateを使用することで、一部のブラウザでのキャッシュ問題を回避するのに役立つ場合があります。設定されていない場合、デフォルト値のfalseが使用されます。

セッションIDを生成するjava.security.SecureRandomインスタンスを作成するために使用するアルゴリズムの名前。無効なアルゴリズムやプロバイダーが指定された場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定されていない場合、デフォルトのSHA1PRNGアルゴリズムが使用されます。デフォルトアルゴリズムがサポートされていない場合、プラットフォームのデフォルトが使用されます。プラットフォームのデフォルトを使用することを指定するには、secureRandomProvider属性を設定せず、この属性を空文字列に設定します。

SSOセッションIDを生成するために使用するjava.security.SecureRandomを拡張するJavaクラス名。指定されていない場合、デフォルト値はjava.security.SecureRandomです。

SSOセッションIDを生成するjava.security.SecureRandomインスタンスを作成するために使用するプロバイダーの名前。無効なアルゴリズムやプロバイダーが指定された場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定されていない場合、プラットフォームのデフォルトプロバイダーが使用されます。

転送/プロキシされたリクエストに対して、認証情報（リモートユーザーと認証タイプ）をレスポンスヘッダーとして返すかどうかを制御します。RemoteIpValveまたはRemoteIpFilterがGlobals.REQUEST_FORWARDED_ATTRIBUTEで転送リクエストをマークする場合、このオーセンティケーターはHttpServletRequest.getRemoteUser()とHttpServletRequest.getAuthType()の値をレスポンスヘッダーremote-userおよびauth-typeとしてリバースプロキシに返すことができます。これは、例えばアクセスログの一貫性やその他の決定を下すのに役立ちます。指定されていない場合、デフォルト値はfalseです。

認証プロセスに使用されるダイジェストアルゴリズムのカンマ区切りリスト。アルゴリズムは、Java標準名またはRFC 7616で使用される名前で指定できます。指定されていない場合、デフォルト値のSHA-256,MD5が使用されます。

CORS仕様で要求されるように、CORSプリフライトリクエストと見なされるリクエストが認証をバイパスすることを許可するかどうか。許可される値はnever、filter、alwaysです。neverは、CORSプリフライトリクエストと見なされる場合でも、リクエストが認証をバイパスしないことを意味します。filterは、リクエストがCORSプリフライトリクエストと見なされ、CORSフィルターが有効になっているウェブアプリケーションにマッピングされており、リクエストがCORSフィルターマッパーのURLPatternsに一致する場合に、リクエストが認証をバイパスすることを意味します。alwaysは、CORSプリフライトリクエストと見なされるすべてのリクエストが認証をバイパスすることを意味します。設定されていない場合、デフォルト値はneverです。

ユーザーが認証されたら常にセッションを使用すべきか？これにより、セッションが認証されたプリンシパルをキャッシュするために使用できるため、すべてのリクエストでレルムを介してユーザーを認証する必要がなくなるため、いくつかのパフォーマンス上の利点が得られる可能性があります。これは、JNDIRealmまたはDataSourceRealmsとともに使用されるBASIC認証などの組み合わせに役立つ場合があります。ただし、セッションの作成とGCにもパフォーマンスコストがかかります。設定されていない場合、デフォルト値のfalseが使用されます。

リクエストがHTTPセッションの一部である場合、認証されたプリンシパルをキャッシュすべきか？指定されていない場合、デフォルト値のfalseが使用されます。

ユーザーが認証された時点でセッションが存在する場合に、セッションIDを変更するかどうかを制御します。これはセッション固定攻撃を防ぐためです。設定されていない場合、デフォルト値のtrueが使用されます。

使用する実装のJavaクラス名。これはorg.apache.catalina.authenticator.DigestAuthenticatorに設定する必要があります。

セキュリティ制約によって保護されているページのキャッシュを制御します。これをfalseに設定すると、一部のブラウザでのキャッシュ問題を回避するのに役立つ場合がありますが、保護されたページがプロキシによってキャッシュされることにもなり、ほぼ確実にセキュリティ問題を引き起こします。securePagesWithPragmaは、ブラウザのキャッシュ問題に対する別の安全な回避策を提供します。設定されていない場合、デフォルト値のtrueが使用されます。

JASPICによって使用されるべきjavax.security.auth.callback.CallbackHandler実装のJavaクラス名。指定されていない場合、デフォルトのorg.apache.catalina.authenticator.jaspic.CallbackHandlerImplが使用されます。

ダイジェスト認証で使用される秘密鍵。設定されていない場合、セキュアなランダム値が生成されます。これは通常、サーバーの再起動時やクラスター全体でキー値を一定に保つ必要がある場合にのみ設定すべきです。

リプレイ攻撃から保護するために、DIGEST認証はサーバーのナンス値とナンスカウント値を追跡します。この属性は、そのキャッシュのサイズを制御します。指定されていない場合、デフォルト値の1000が使用されます。

クライアントのリクエストは順不同で処理される可能性があり、それはナンスカウント値も順不同で処理される可能性があることを意味します。ナンスカウントが順不同で提示された場合の認証失敗を防ぐために、認証器はナンスカウント値のウィンドウを追跡します。この属性は、そのウィンドウのサイズを制御します。指定されていない場合、デフォルト値の100が使用されます。

サーバーが生成したナンスが認証に使用するのに有効と見なされる時間（ミリ秒単位）。指定されていない場合、デフォルト値の300000（5分）が使用されます。

ダイジェスト認証で使用される不透明なサーバー文字列。設定されていない場合、ランダムな値が生成されます。これは通常、サーバーの再起動時やクラスター全体で不透明な値を一定に保つ必要がある場合にのみ設定すべきです。

セキュリティ制約によって保護されているページのキャッシュを制御します。これをfalseに設定すると、デフォルトのPragma: No-cacheおよびCache-control: No-cacheではなく、Cache-Control: privateを使用することで、一部のブラウザでのキャッシュ問題を回避するのに役立つ場合があります。設定されていない場合、デフォルト値のfalseが使用されます。

セッションIDを生成するjava.security.SecureRandomインスタンスを作成するために使用するアルゴリズムの名前。無効なアルゴリズムやプロバイダーが指定された場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定されていない場合、デフォルトのSHA1PRNGアルゴリズムが使用されます。デフォルトアルゴリズムがサポートされていない場合、プラットフォームのデフォルトが使用されます。プラットフォームのデフォルトを使用することを指定するには、secureRandomProvider属性を設定せず、この属性を空文字列に設定します。

SSOセッションIDを生成するために使用するjava.security.SecureRandomを拡張するJavaクラス名。指定されていない場合、デフォルト値はjava.security.SecureRandomです。

SSOセッションIDを生成するjava.security.SecureRandomインスタンスを作成するために使用するプロバイダーの名前。無効なアルゴリズムやプロバイダーが指定された場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定されていない場合、プラットフォームのデフォルトプロバイダーが使用されます。

転送/プロキシされたリクエストに対して、認証情報（リモートユーザーと認証タイプ）をレスポンスヘッダーとして返すかどうかを制御します。RemoteIpValveまたはRemoteIpFilterがGlobals.REQUEST_FORWARDED_ATTRIBUTEで転送リクエストをマークする場合、このオーセンティケーターはHttpServletRequest.getRemoteUser()とHttpServletRequest.getAuthType()の値をレスポンスヘッダーremote-userおよびauth-typeとしてリバースプロキシに返すことができます。これは、例えばアクセスログの一貫性やその他の決定を下すのに役立ちます。指定されていない場合、デフォルト値はfalseです。

RFC2617で要求されているようにURIを検証すべきか？指定されていない場合、デフォルト値のtrueが使用されます。これは通常、Tomcatがリバースプロキシの背後にあり、プロキシがTomcatに渡されるURIを変更しているためにDIGEST認証が常に失敗する場合にのみ設定すべきです。

CORS仕様で要求されるように、CORSプリフライトリクエストと見なされるリクエストが認証をバイパスすることを許可するかどうか。許可される値はnever、filter、alwaysです。neverは、CORSプリフライトリクエストと見なされる場合でも、リクエストが認証をバイパスしないことを意味します。filterは、リクエストがCORSプリフライトリクエストと見なされ、CORSフィルターが有効になっているウェブアプリケーションにマッピングされており、リクエストがCORSフィルターマッパーのURLPatternsに一致する場合に、リクエストが認証をバイパスすることを意味します。alwaysは、CORSプリフライトリクエストと見なされるすべてのリクエストが認証をバイパスすることを意味します。設定されていない場合、デフォルト値はneverです。

認証プロセスがセッションを作成する場合、これは認証プロセス中の最大セッションタイムアウト（秒単位）です。認証が完了すると、デフォルトのセッションタイムアウトが適用されます。認証プロセス開始前に存在するセッションは、元のセッションタイムアウトを保持します。設定されていない場合、デフォルト値の120秒が使用されます。

ユーザーが認証された時点でセッションが存在する場合に、セッションIDを変更するかどうかを制御します。これはセッション固定攻撃を防ぐためです。設定されていない場合、デフォルト値のtrueが使用されます。

リクエストからユーザー名とパスワードのパラメータを読み取るために使用する文字エンコーディング。設定されていない場合、リクエストボディのエンコーディングが使用されます。

使用する実装のJavaクラス名。これはorg.apache.catalina.authenticator.FormAuthenticatorに設定する必要があります。

セキュリティ制約によって保護されているページのキャッシュを制御します。これをfalseに設定すると、一部のブラウザでのキャッシュ問題を回避するのに役立つ場合がありますが、保護されたページがプロキシによってキャッシュされることにもなり、ほぼ確実にセキュリティ問題を引き起こします。securePagesWithPragmaは、ブラウザのキャッシュ問題に対する別の安全な回避策を提供します。設定されていない場合、デフォルト値のtrueが使用されます。

JASPICによって使用されるべきjavax.security.auth.callback.CallbackHandler実装のJavaクラス名。指定されていない場合、デフォルトのorg.apache.catalina.authenticator.jaspic.CallbackHandlerImplが使用されます。

ログインページを直接リクエストしたり、セッションが期限切れになるほどログインを遅らせたりするなど、フォーム認証プロセスが誤用された場合の動作を制御します。この属性が設定されている場合、エラーレスポンスコードを返す代わりに、ログインフォームが有効な資格情報で送信された場合に、Tomcatはユーザーを指定されたランディングページにリダイレクトします。ログインが処理されるためには、ランディングページは保護されたリソース（つまり、認証を必要とするもの）である必要があります。ランディングページが認証を必要としない場合、ユーザーはログインされず、保護されたページにアクセスする際に資格情報を再度要求されます。

セキュリティ制約によって保護されているページのキャッシュを制御します。これをfalseに設定すると、デフォルトのPragma: No-cacheおよびCache-control: No-cacheではなく、Cache-Control: privateを使用することで、一部のブラウザでのキャッシュ問題を回避するのに役立つ場合があります。設定されていない場合、デフォルト値のfalseが使用されます。

セッションIDを生成するjava.security.SecureRandomインスタンスを作成するために使用するアルゴリズムの名前。無効なアルゴリズムやプロバイダーが指定された場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定されていない場合、デフォルトのSHA1PRNGアルゴリズムが使用されます。デフォルトアルゴリズムがサポートされていない場合、プラットフォームのデフォルトが使用されます。プラットフォームのデフォルトを使用することを指定するには、secureRandomProvider属性を設定せず、この属性を空文字列に設定します。

SSOセッションIDを生成するために使用するjava.security.SecureRandomを拡張するJavaクラス名。指定されていない場合、デフォルト値はjava.security.SecureRandomです。

SSOセッションIDを生成するjava.security.SecureRandomインスタンスを作成するために使用するプロバイダーの名前。無効なアルゴリズムやプロバイダーが指定された場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定されていない場合、プラットフォームのデフォルトプロバイダーが使用されます。

転送/プロキシされたリクエストに対して、認証情報（リモートユーザーと認証タイプ）をレスポンスヘッダーとして返すかどうかを制御します。RemoteIpValveまたはRemoteIpFilterがGlobals.REQUEST_FORWARDED_ATTRIBUTEで転送リクエストをマークする場合、このオーセンティケーターはHttpServletRequest.getRemoteUser()とHttpServletRequest.getAuthType()の値をレスポンスヘッダーremote-userおよびauth-typeとしてリバースプロキシに返すことができます。これは、例えばアクセスログの一貫性やその他の決定を下すのに役立ちます。指定されていない場合、デフォルト値はfalseです。

CORS仕様で要求されるように、CORSプリフライトリクエストと見なされるリクエストが認証をバイパスすることを許可するかどうか。許可される値はnever、filter、alwaysです。neverは、CORSプリフライトリクエストと見なされる場合でも、リクエストが認証をバイパスしないことを意味します。filterは、リクエストがCORSプリフライトリクエストと見なされ、CORSフィルターが有効になっているウェブアプリケーションにマッピングされており、リクエストがCORSフィルターマッパーのURLPatternsに一致する場合に、リクエストが認証をバイパスすることを意味します。alwaysは、CORSプリフライトリクエストと見なされるすべてのリクエストが認証をバイパスすることを意味します。設定されていない場合、デフォルト値はneverです。

リクエストがHTTPセッションの一部である場合、認証されたプリンシパルをキャッシュすべきか？指定されていない場合、デフォルト値のtrueが使用されます。

使用する実装のJavaクラス名。これはorg.apache.catalina.authenticator.SSLAuthenticatorに設定する必要があります。

ユーザーが認証された時点でセッションが存在する場合に、セッションIDを変更するかどうかを制御します。これはセッション固定攻撃を防ぐためです。設定されていない場合、デフォルト値のtrueが使用されます。

セキュリティ制約によって保護されているページのキャッシュを制御します。これをfalseに設定すると、一部のブラウザでのキャッシュ問題を回避するのに役立つ場合がありますが、保護されたページがプロキシによってキャッシュされることにもなり、ほぼ確実にセキュリティ問題を引き起こします。securePagesWithPragmaは、ブラウザのキャッシュ問題に対する別の安全な回避策を提供します。設定されていない場合、デフォルト値のtrueが使用されます。

JASPICによって使用されるべきjavax.security.auth.callback.CallbackHandler実装のJavaクラス名。指定されていない場合、デフォルトのorg.apache.catalina.authenticator.jaspic.CallbackHandlerImplが使用されます。

セキュリティ制約によって保護されているページのキャッシュを制御します。これをfalseに設定すると、デフォルトのPragma: No-cacheおよびCache-control: No-cacheではなく、Cache-Control: privateを使用することで、一部のブラウザでのキャッシュ問題を回避するのに役立つ場合があります。設定されていない場合、デフォルト値のfalseが使用されます。

セッションIDを生成するjava.security.SecureRandomインスタンスを作成するために使用するアルゴリズムの名前。無効なアルゴリズムやプロバイダーが指定された場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定されていない場合、デフォルトのSHA1PRNGアルゴリズムが使用されます。デフォルトアルゴリズムがサポートされていない場合、プラットフォームのデフォルトが使用されます。プラットフォームのデフォルトを使用することを指定するには、secureRandomProvider属性を設定せず、この属性を空文字列に設定します。

SSOセッションIDを生成するために使用するjava.security.SecureRandomを拡張するJavaクラス名。指定されていない場合、デフォルト値はjava.security.SecureRandomです。

SSOセッションIDを生成するjava.security.SecureRandomインスタンスを作成するために使用するプロバイダーの名前。無効なアルゴリズムやプロバイダーが指定された場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定されていない場合、プラットフォームのデフォルトプロバイダーが使用されます。

CORS仕様で要求されるように、CORSプリフライトリクエストと見なされるリクエストが認証をバイパスすることを許可するかどうか。許可される値はnever、filter、alwaysです。neverは、CORSプリフライトリクエストと見なされる場合でも、リクエストが認証をバイパスしないことを意味します。filterは、リクエストがCORSプリフライトリクエストと見なされ、リクエストがマッピングされるウェブアプリケーションでCORSフィルターが有効になっており、かつリクエストがCORSフィルターマッパーのURLパターンに一致する場合に、リクエストが認証をバイパスすることを意味します。alwaysは、CORSプリフライトリクエストと見なされるすべてのリクエストが認証をバイパスすることを意味します。設定されていない場合、デフォルト値はneverです。

ユーザーが認証されたら常にセッションを使用すべきか？これにより、セッションが認証されたプリンシパルをキャッシュするために使用できるため、すべてのリクエストでユーザーを認証する必要がなくなるため、いくつかのパフォーマンス上の利点が得られる可能性があります。これは、サーバーが認証されたユーザーをキャッシュすると仮定するクライアントにも役立ちます。ただし、セッションの作成とGCにもパフォーマンスコストがかかります。代替ソリューションについては、noKeepAliveUserAgentsを参照してください。設定されていない場合、デフォルト値のfalseが使用されます。

Java 8 Update 40（JDK-8048194）以降で導入された修正により、Windows 2008 R2サーバー上でTomcatを実行しているIEでのSPNEGO認証が破損しました。このオプションは、SPNEGO認証が引き続き機能するようにする回避策を有効にします。この回避策は他の設定に影響を与えないはずなので、デフォルトで有効になっています。必要に応じて、この属性をfalseに設定することで回避策を無効にできます。

リクエストがHTTPセッションの一部である場合、認証されたプリンシパルをキャッシュすべきか？指定されていない場合、デフォルト値のtrueが使用されます。

使用する実装のJavaクラス名。これはorg.apache.catalina.authenticator.SpnegoAuthenticatorに設定する必要があります。

ユーザーが認証された時点でセッションが存在する場合に、セッションIDを変更するかどうかを制御します。これはセッション固定攻撃を防ぐためです。設定されていない場合、デフォルト値のtrueが使用されます。

セキュリティ制約によって保護されているページのキャッシュを制御します。これをfalseに設定すると、一部のブラウザでのキャッシュ問題を回避するのに役立つ場合がありますが、保護されたページがプロキシによってキャッシュされることにもなり、ほぼ確実にセキュリティ問題を引き起こします。securePagesWithPragmaは、ブラウザのキャッシュ問題に対する別の安全な回避策を提供します。設定されていない場合、デフォルト値のtrueが使用されます。

JASPICによって使用されるべきjavax.security.auth.callback.CallbackHandler実装のJavaクラス名。指定されていない場合、デフォルトのorg.apache.catalina.authenticator.jaspic.CallbackHandlerImplが使用されます。

サービスとしてログインするために使用されるJAASログイン設定の名前。指定されていない場合、デフォルトのcom.sun.security.jgss.krb5.acceptが使用されます。

一部のクライアント（ほとんどのブラウザではない）は、サーバーが接続の認証済みユーザー情報をキャッシュし、すべてのリクエストで資格情報を再送信しないと想定しています。Tomcatは、HTTPセッションが利用可能でない限り、これを実行しません。セッションは、アプリケーションがセッションを作成した場合、またはこの認証器でalwaysUseSessionが有効になっている場合に利用可能になります。

セッションを作成する代替手段として、この属性を使用してHTTP keep-aliveが無効になるユーザーエージェントを定義できます。これは、接続が単一のリクエストにのみ使用され、接続ごとの認証済みユーザー情報をキャッシュする機能がないことを意味します。HTTP keep-aliveを無効にするとパフォーマンスコストが発生します。

この属性は、ユーザーエージェント文字列全体に一致する正規表現である必要があります（例: .*Chrome.*）。指定されていない場合、正規表現は定義されず、HTTP keep-aliveが無効になるユーザーエージェントもありません。

セキュリティ制約によって保護されているページのキャッシュを制御します。これをfalseに設定すると、デフォルトのPragma: No-cacheおよびCache-control: No-cacheではなく、Cache-Control: privateを使用することで、一部のブラウザでのキャッシュ問題を回避するのに役立つ場合があります。設定されていない場合、デフォルト値のfalseが使用されます。

セッションIDを生成するjava.security.SecureRandomインスタンスを作成するために使用するアルゴリズムの名前。無効なアルゴリズムやプロバイダーが指定された場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定されていない場合、デフォルトのSHA1PRNGアルゴリズムが使用されます。デフォルトアルゴリズムがサポートされていない場合、プラットフォームのデフォルトが使用されます。プラットフォームのデフォルトを使用することを指定するには、secureRandomProvider属性を設定せず、この属性を空文字列に設定します。

SSOセッションIDを生成するために使用するjava.security.SecureRandomを拡張するJavaクラス名。指定されていない場合、デフォルト値はjava.security.SecureRandomです。

SSOセッションIDを生成するjava.security.SecureRandomインスタンスを作成するために使用するプロバイダーの名前。無効なアルゴリズムやプロバイダーが指定された場合、プラットフォームのデフォルトプロバイダーとデフォルトアルゴリズムが使用されます。指定されていない場合、プラットフォームのデフォルトプロバイダーが使用されます。

転送/プロキシされたリクエストに対して、認証情報（リモートユーザーと認証タイプ）をレスポンスヘッダーとして返すかどうかを制御します。RemoteIpValveまたはRemoteIpFilterがGlobals.REQUEST_FORWARDED_ATTRIBUTEで転送リクエストをマークする場合、このオーセンティケーターはHttpServletRequest.getRemoteUser()とHttpServletRequest.getAuthType()の値をレスポンスヘッダーremote-userおよびauth-typeとしてリバースプロキシに返すことができます。これは、例えばアクセスログの一貫性やその他の決定を下すのに役立ちます。指定されていない場合、デフォルト値はfalseです。

ユーザーの委任された資格情報がユーザープリンシパルに保存されるかどうかを制御します。利用可能な場合、委任された資格情報はorg.apache.catalina.realm.GSS_CREDENTIALリクエスト属性を介してアプリケーション（例: 外部サービスへの継続的な認証のため）で利用可能になります。設定されていない場合、デフォルト値のtrueが使用されます。