springboot怎样使用自定义的Tomcat

前言

事情的缘由是tomcat d的漏洞引起的，需要升级Tomcat。

 

然后项目是springboot, 然后使用自带的tomcat.我使用的是springboot2.1.6.我看了一下，2.1.6版本自动依赖的Tomcat版本是9.0.21。刚好在这个漏洞范围之内。卧槽，第一反应就是要升级，最开始想到了两个解决方案。

一、升级springboot版本，我查了一下，最新的springboot 2.2.3 依赖的Tomcat版本是9.0.30 ，那岂不是springboot 版本要升级到最新，一想不对劲啊，升到最新版本会不会引起其他什么问题，然后我升级到2.2.3打包没问题，启动就报错了，发现项目依赖的公司框架不支持最新的版本，这样想，如果要修复漏洞，就要升级框架，成本还是有点高的，所以想了第二个方案。

二、屏蔽自带了Tomcat，部署到外置Tomcat 上运行，但是这样需要打成war ,并且项目中的一堆配置文件都是放在配置中心的 ，怎么都去加载也是问题。并且改动量很大也。

后来在第二种的基础上，改进了一下。既然可以屏蔽到自带的tomcat ,那我们再进一步，引入没有漏洞的tomcat 包是不是就可以了。

解决

基于上面的思考，我找到了pom.xml 文件，parent中点击进去，找到spring-boot-dependencies 点进去，再找到tomcat 依赖的版本，可以看到原来是9.0.21.我们手动改成9.0.30 。然后我们pom.xml maven-Reimport。最后重启项目。启动发现，引用的Tomcat已经是我们最新的9.0.30啦。

那怎么升级呢？如果lib 文件和项目没有分开，直接全量替换就可以了。如果是依赖包和运行包分开，如果仅仅替换下面这四个jar 包启动是会报错的。所以建议还是替换整个lib 文件夹

反思

其实也可以在pom.xml 文件中做如下修改

            org.springframework.boot
            spring-boot-starter-web
                
                
                
            

 
        org.apache.tomcat.embed
        tomcat-embed-core
        9.0.30
      
      
        org.apache.tomcat.embed
        tomcat-embed-el
        9.0.30
      
      
        org.apache.tomcat.embed
        tomcat-embed-websocket
        9.0.30
      

可以达到一样的效果。