昨天无意中访问到公司以前配置的apache jk的监控界面，赶紧联系公司处理掉。
当然我们除了设置为了监控jk运行状态 ，我们一般会把/jkstatus指向jk的worker。而且很多配置都会使用这个路径，所以很容易被别人访问到。因此我们可以在此设置简单简单的密码来防止别人访问到。
下面是个例子：在没有密码的情况下访问http://host/jkstatus

如何解决呢,大致我认为有3种方法：

1 禁制其他访问，只限制部分ip的访问

通过一下设置，注意别写反了，关于deny和allow见http://www.blogjava.net/freeman1984/archive/2011/10/31/362372.html
<Location /jkstatus>
Order deny,allow
Deny from all
Allow from 某个ip
</Location>
或者全部不让访问
<Location /jkstatus>
Order deny,allow
Deny from all
</Location>
2 不在worker里面配置status的worker。这样有可能默认交给了tomcat处理，最后也许看到的就是可爱的404界面。
3 添加密码通过配置(有几种方式，basic，digest 其他？)，这个就basic介绍一下
<Location /jkstatus>
Order deny,allow
AuthType Basic
AuthName “验证中心”  #弹出框的提示
AuthUserFile conf/jk_passwd
require valid-user
</Location>
生成密码文件的方式如下（以windows为例：htpasswd -bc 文件路径 用户名 密码）：

这样访问的时候就会提示让我们输入密码了：
ie下提示：