这个页面列出了存储在 Confluence 用户浏览器中的小型文字档案（Cookies）内容。这些内容是由 Confluence 自己创建的。这个页面不会列出由 Confluence 安装的第三方插件在你浏览器中创建的 cookies。 授权 cookies Confluence 使用 Seraph，是一个为 HTTP cookie 授权的开源框架。Confluence 为用户授权使用 2 种类型的 cookies 。 JSESSIONID cookie 是由应用服务器创建的，同时被用来跟踪用户会话信息。这个 cookie 包含有随机的字符串，随着每次会话的结束和浏览器的关闭，这个会话将会被终止。 当用户在登录界面中，选择记住我（Remember me）选择框的时候，'remember me' cookie, seraph.confluence，是由 Confluence 创建的。 有关 cookies 的相关信息，你可以阅读 Wikipedia page about HTTP cookies 页面中的内容。 'remember me' cookie 'remember me' cookie， seraph.confluence，是一个长期存活的 HTTP cookie。这个 cookie 可以被用来授权一个没有授权的会话。当用户在登录界面的时候选择了记住我（Remember me）Confluence 将会创建这个 cookie。 Cookie 的 key 和内容 在默认的情况下，cookie 的 key 是 seraph.confluence，这个配置是在 login.cookie.key 参数中定义的。这个参数可以在 CONFLUENCE-INSTALLATION/confluence/WEB-INF/classes/seraph-config.xml 文件中找到。 cookie 包含有一个独一无二的识别号同时包含一个安全随机字符串（例如，token）。这个 token 是 Confluence 创建的，同时还存储在 Confluence 数据库中。 为授权使用 cookie 当用户请求一个 web 页面的时候。用户没有通过基于会话的授权的话，Confluence 将会对比 记住我（remember me）中存储的 cookie（如果这个 cookie 存在的话）。这个 cookie 为用户存储数据在 Confluence 数据库中。 如果 cookie 中的 token与存储在数据库中的 token 相同，那么表示这个用户的 cookie 没有过期，用户能够被顺利授权。 'remember me' cookies 的生命周期 你可以配置这个 cookie 的最大生存周期。希望对这个配置进行修改，你需要修改  CONFLUENCE-INSTALLATION/confluence/WEB-INF/classes/seraph-config.xml 文件，然后插入下面的配置参数到 init-param 元素下： <init-param>     <param-name>autologin.cookie.age</param-name>     <param-value>2592000</param-value><!-- 30 days in seconds --> </init-param> 'remember me' tokens 的自动清理 所有由 Confluence 签发的 cookie 都会存储在数据库库中。我们有一个计划任务在每个月 20 号的时候清理过期的 token。这个是由触发器 clearExpiredRememberMeTokensTrigger 触发的。 注意：这个计划任务的的主要任务是为了避免数据库中数据的过度膨胀。在用户授权部分，Confluence 将会忽略掉过期的 token，而让过期的 token 在数据库中一直存在。 可以禁用 'remember me' 功能吗？ Confluence 不提供禁用 'Remember Me' 的功能，请参考  workaround 页面中的内容。   https://www.cwiki.us/display/CONF6ZH/Confluence+Cookies

禁用密码确定。 Confluence 安装使用自定义授权机制有可能会在密码校验的时候遇到问题。如果必要的话，你可以设置 password.confirmation.disabled 系统属性来禁用密码校验功能。请参考 Recognized System Properties 页面中的更多信息。同时请参考问题  CONF-20958 问题中国的描述。 WebSudo。这个特性将会提供管理和会话的安全性，同时被称为 'WebSudo'。 手动结束安全会话。 管理员可以通过单击 取消访问（drop access）链接来终止管理员现在使用的安全会话。例如： 针对开发人员。 管理员的安全会话可能在 Confluence 进行开发的时候或者安装插件的时候遇到问题。请阅读下面的问题解答： How do I develop against Confluence with Secure Administrator Sessions? 请注意：Confluence XML-RPC 和 REST APIs 不会受到管理员安全会话的影响。 https://www.cwiki.us/display/CONF6ZH/Configuring+Secure+Administrator+Sessions

Confluence 通过使用 Confluence administration console 来显示管理员访问后台管理的功能或者管理一个空间。当一个 Confluence 管理员（以管理员身份登录 Confluence）尝试访问管理员的功能，这些用户将会提示输入用户名和密码进行再次登录。这次登录将会赋予 Confluence 一个临时的会话来让这些用户能够使用 Confluence 和空间的管理功能。 这个临时的安全会话将会过期（通常是 10 分钟）。如果 Confluence 管理员在 10 分钟内没有进行任何操作的话，这个用户的会话将会被服务器注销掉，用户将会被被服务器提示需要重新登录（请注意，这种情况的时候，用户的界面还是会显示已经登录的管理员界面）。当管理单击任何管理操作，用户的超时时间将会被重置。 希望配置管理员安全会话： 在屏幕的右上角单击 控制台按钮 ，然后选择 General Configuration 链接。 在左侧的面板中选择 安全配置（Security Configuration）。 选择 编辑（Edit）。 配置下面的设置： 希望禁用管理员安全会话，单击取消选择 安全管理会话（Secure administrator sessions）前面的 启用（Enable ）。当你设置这个配置为禁用的话，那么系统的管理将不会在访问管理员功能的时候创建安全会话来访问系统管理员的功能。 针对管理员安全的会话，希望修改超时时间，请修改有效分钟（minutes before invalidation）边上的参数。默认的管理员会话超时时间是 10 分钟。 选择 保存（Save）。 https://www.cwiki.us/display/CONF6ZH/Configuring+Secure+Administrator+Sessions

备注：这个页面的文档是 Apache 的配置，而不是 Confluence 自己的配置。Atlassian 将会对 Confluence 的配置提供支持，但是我们不能保证能够对你所有在配置 Apache 的时候遇到的问题提供支持。请注意，这个页面下面提供的信息仅为你提供参考同时也不能保证所有的的配置能正常工作。如果你按照本页面中的内容进行配置，所有的风险自负。 Confluence 的一些功能需要提供 URL 重写，如果 Confluence 能够从多个不同域名进行访问的话。如果 Confluence 被配置为多个域名不使用URL 重写，你将有可能会碰到一系列的问题。请参考 Various Issues Caused when Server Base URL Does Not Match the URL Used to Access Confluence 页面中的内容。 一个为什么你希望从多个域名访问 Confluence 的示例： 从内部网络： http://wiki 从外部可见的网络： http://wiki.domain.com 使用重写来让 Confluence 支持多域名访问 为了让 Confluence 能够从多域名进行访问： 为 Confluence 服务器，添加 DNS 为整个 http://wiki 域名为外部可见的 IP 地址。 设置 Confluence 的 server base URL 为 http://wiki.domain.com. 添加 Apache 的 HTTP 代理，使用页面 Running Confluence behind Apache 页面中的指南。 使用 mod_rewrite 模块来修改 URL。 更多信息 你可能需要插入UrlRewriteFilter 到你的 Java web 过滤器中。这个与 Apache 的 mod_rewrite 工作原理类似。   https://www.cwiki.us/display/CONF6ZH/Using+mod_rewrite+to+Modify+Confluence+URLs

在 Confluence 6 及其后续版本中，不能使用 mod_jk 来做代理。这是因为 Synchrony 服务导致的这个限制。 Synchrony 在协同编辑的时候需要启动，同时还不能接受 AJP 连接。请参考 Using Apache with mod_proxy 页面中的文档进行配置。 如果你没有办法切换 mod_proxy，请参考 How to configure Apache mod_jk to proxy Confluence 6.x or later 页面中的内容进行配置。 https://www.cwiki.us/display/CONF6ZH/Using+Apache+with+mod_jk

限制特定的 IP 地址可以访问管理员后台 Confluence 的管理员控制台界面对整个应用来说是非常重要的，任何人访问 Confluence 的控制台不仅仅可以访问 Confluence 安装实例，同时还可以访问整个服务器。我们可以限制 Confluence 的管理员控制台的访问给真正需要使用的人和使用强密码的方式。你可以考虑只有网络上的部分机器能够访问 Confluence 的管理员控制台或者只有内部网络的机器才可以访问控制台。如果你使用的是 Apache web server，这个限制可以在 Apache 端进行配置，按照下面的方法进行配置： 1. 创建一个定义权限的设置 这个文件可以在 Apache 的配置目录中或者系统全局目录中。例如这个配置文件我们可以命名为 "sysadmin_ips_only.conf"。这个配置文件应该包含有下面的内容： Order Deny,Allow Deny from All # Mark the Sysadmin's workstation Allow from 192.168.12.42 2. 添加这个文件到你的虚拟主机中 在你的 Apache 虚拟主机（Apache Virtual Host）配置文件中，添加下面的行来限制系统管理员可以进行的管理操作： 这个配置是是基于你已经安装 Confluence 在 '/confluence' 目录下。如果你的 Confluence 是安装在 '/' 下或者其他的路径下，仅添加相关的路径即可。 <Location /confluence/admin>   Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/oauth/consumers/list>   Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/oauth/view-consumer-info>   Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/oauth/service-providers/list>   Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/oauth/service-providers/add>   Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/oauth/consumers/add>   Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/oauth/consumers/add-manually>   Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/oauth/update-consumer-info>   Include sysadmin_ips_only.conf </Location> <Location /confluence/pages/templates/listpagetemplates.action>   Include sysadmin_ips_only.conf </Location> <Location /confluence/pages/templates/createpagetemplate.action>   Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/spacepermissions.action>   Include sysadmin_ips_only.conf </Location> <Location /confluence/pages/listpermissionpages.action>   Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/removespace.action>   Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/importmbox.action>   Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/viewmailaccounts.action>   Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/addmailaccount.action?>   Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/importpages.action>   Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/flyingpdf/flyingpdf.action>   Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/exportspacehtml.action>   Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/exportspacexml.action>   Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/embedded-crowd>   Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/upm>   Include sysadmin_ips_only.conf </Location> https://www.cwiki.us/display/CONF6ZH/Using+Apache+to+limit+access+to+the+Confluence+administration+interface

备注 在创建证书时候的背景信息： 'keytool -genkeypair' 命令将会创建秘钥对，包括公钥和关联的私钥，然后存储到  keystore 中。这个命令打包公钥为  X.509 v3 自签名证书，同时存储为证书链中的单一元素。这个证书链和私钥同时存储为一个新的 keystore 实例。是通过你在命令行中指定的别名进行识别的。Java SE documentation 能帮你更好的使用这个工具。 自定义 SSL 端口：如果你修改了你的 SSL 连接器运行的默认端口（8443），你必须需要更新标注 HTTPS 连接的 redirectPort 属性来映射到新的 SSL 端口。Tomcat 需要这些信息才能知道针对访问 HTTPS 应该重定向到那个端口。 同一主机的多实例：当你在同一主机中运行了多个实例，对地址（address ）的确定非常重要，这个属性定义在 <CONFLUENCE_INSTALLATION>/conf/server.xml 文件中，默认的连接器将会列出所有可用的网络接口，因此指定地址将会阻止在同一主机中运行相同端口中的连接器的冲突。请参考 Tomcat 连接器的文档来获得有关地址属性的更多信息： https://tomcat.apache.org/tomcat-8.0-doc/config/http.html <Connector port="8443" address="your.confluence.url.com"  maxHttpHeaderSize="8192"   maxThreads="150" minSpareThreads="25" maxSpareThreads="75"   enableLookups="false" disableUploadTimeout="true"   acceptCount="100" scheme="https" secure="true"   clientAuth="false" sslProtocol="TLS" SSLEnabled="true"   URIEncoding="UTF-8" keystorePass="<MY_CERTIFICATE_PASSWORD>"   keystoreFile="<MY_CERTIFICATE_LOCATION>"/> HTTPS 必须在你全站点配置：HTTPS 不能仅加密一个独立的页面或者空间。 在你对 Confluence 进行升级之前：对你修改过的 server.xml 和 web.xml 文件进行记录。每一升级完成后，你都需要对你修改过的配置文件进行重新配置。最好还是手动添加，而不是将整个文件复制粘贴。 问题解决 请参考 Confluence 知识库中有关的文章 troubleshooting SSL。 有关 Internet Explorer 不能下载附件的问题，将全站点应用 SSL 将会可能导致 IE 不能正确的下载附件。要修复这个问题，请编辑 <CONFLUENCE_INSTALLATION>/conf/server.xml 然后添加下面的行到  <Context ... />元素： <Valve className="org.apache.catalina.authenticator.NonLoginAuthenticator"        disableProxyCaching="true" securePagesWithPragma="false" /> https://www.cwiki.us/display/CONF6ZH/Running+Confluence+Over+SSL+or+HTTPS  

尽管现在 HTTPS 现在已经激活并且可用了。老的 HTTP URLs （http://localhost:8090）还是可以访问的。现在你需要重定向所有 URLs 到他们的 HTTPS 链接中。你可以通过在  web.xml 文件中添加加安全常量来达到这个目的。这个能够让 Tomcat 将不是 SSL 端口的访问重定向到 SSL。 检查你的 Confluence 站点的用户是否使用了 RSS macro。如果你的站点启用了 RSS macro 宏，你可能需要在防火墙规则中配置 Confluence URL 重定向，而不需要通过修改 web.xml 文件达到这个目的。请跳过下面的步骤，然后访问 RSS Feed Macro 页面来获得更多信息。 否则，编辑  <CONFLUENCE_INSTALLATION>/confluence/WEB-INF/web.xml 文件中的内容。 添加下面的定义到文件的页尾，但是需要在 </web-app> 标签的前面： <security-constraint>   <web-resource-collection>     <web-resource-name>Restricted URLs</web-resource-name>     <url-pattern>/</url-pattern>   </web-resource-collection>   <user-data-constraint>     <transport-guarantee>CONFIDENTIAL</transport-guarantee>   </user-data-constraint> </security-constraint> 重启 Confluence 然后访问 http://localhost:8090，现在你应该是直接重定向到 https://localhost:8443/login.action 中了。  Confluence 有 2 个 web.xml 文件。另一个文件在 <CONFLUENCE_INSTALLATION>/conf/web.xml。请仅仅按照上面描述的内容在 <CONFLUENCE_INSTALLATION>/confluence/WEB-INF/web.xml 中进行修改。 https://www.cwiki.us/display/CONF6ZH/Running+Confluence+Over+SSL+or+HTTPS

在你的浏览器中，进入  > 基本配置（General Configuration）. 单击 编辑（Edit）。 修改服务器的基础 URL 为 HTTPS。请参考文档  configuring the server base URL 来获得更多配置信息。 重启 Confluence 然后通过 https://<MY_BASE_URL>:8443/ 访问 Confluence。   https://www.cwiki.us/display/CONF6ZH/Running+Confluence+Over+SSL+or+HTTPS

在默认的情况下，Tomcat 希望 keystore 文件被命名为 .keystore 文件，同时这个文件应该放置在 Tomcat 运行的 home 目录中（这个目录可能与你自己的 Home 目录的路径不同）。这个配置的意思是，在默认情况下 Tomcat 将会到下面 2 个位置中去检查你的 SSL 证书： On Windows: C:\users\#CURRENT_USER#\.keystore On OS X and UNIX-based systems: ~/.keystore 不要保存你的证书 keystore 文件到你的 Confluence 目录下面。这个目录文件将会在你升级的时候删除。 如果你的证书文件没有放置到默认路径下的时候，你可能决定移动你的证书文件到一个自定义的路径。你需要按照下面的提示升级更新你的服务器配置文件，这样 Tomcat 才能够正常找到这个证书。 编辑  <confluence-install-directory>/conf/server.xml 添加属性 keystoreFile="<MY_CERTIFICATE_LOCATION>" 到 Connectorelement，然后这个元素看起来如下所示： <Connector port="8443" maxHttpHeaderSize="8192"            maxThreads="150" minSpareThreads="25" maxSpareThreads="75"            enableLookups="false" disableUploadTimeout="true"            acceptCount="100" scheme="https" secure="true"            clientAuth="false" sslProtocol="TLS" SSLEnabled="true"            URIEncoding="UTF-8" keystorePass="<MY_CERTIFICATE_PASSWORD>"            keystoreFile="<MY_CERTIFICATE_LOCATION>"/> 替换文本 <MY_CERTIFICATE_LOCATION> 为你证书的路径，包括 .keystore 文件的路径全名。 保存你的配置文件。   https://www.cwiki.us/display/CONF6ZH/Running+Confluence+Over+SSL+or+HTTPS