web.xml配置

定义头和根元素 

部署描述符文件就像所有XML文件一样，必须以一个XML头开始。这个头声明可以使用的XML版本并给出文

件的字符编码。

DOCYTPE声明必须立即出现在此头之后。这个声明告诉服务器适用的servlet规范的版本（如2.2或2.3）并

指定管理此文件其余部分内容的语法的DTD(Document Type Definition，文档类型定义)。

所有部署描述符文件的顶层（根）元素为web-app。请注意，XML元素不像HTML，他们是大小写敏感的。因

此，web-App和WEB-APP都是不合法的，web-app必须用小写。

XML 元素不仅是大小写敏感的，而且它们还对出现在其他元素中的次序敏感。例如，XML头必须是文件中

的第一项，DOCTYPE声明必须是第二项，而web- app元素必须是第三项。在web-app元素内，元素的次序也

很重要。服务器不一定强制要求这种次序，但它们允许（实际上有些服务器就是这样做的）完全 拒绝执

行含有次序不正确的元素的Web应用。这表示使用非标准元素次序的web.xml文件是不可移植的。

Java代码  

1. <?xml version="1.0" encoding="UTF-8"?>  
2.  <!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd">  

元素详解

    下面的列表给出了所有可直接出现在web-app元素内的合法元素所必需的次序。例如，此列表说明servlet元素必须出现在所有servlet- mapping元素之前。请注意，所有这些元素都是可选的。因此，可以省略掉某一元素，但不能把它放于不正确的位置。

Java代码  

1. icon icon元素指出IDE和GUI工具用来表示Web应用的一个和两个图像文件的位置。  
2. display-name display-name元素提供GUI工具可能会用来标记这个特定的Web应用的一个名称。  
3. description description元素给出与此有关的说明性文本。  
4. context-param context-param元素声明应用范围内的初始化参数。  
5. filter 过滤器元素将一个名字与一个实现javax.servlet.Filter接口的类相关联。  
6. filter-mapping 一旦命名了一个过滤器，就要利用filter-mapping元素把它与一个或多个servlet或JSP页面相关联。  
7. listener servlet API的版本2.3增加了对事件监听程序的支持，事件监听程序在建立、修改和删除会话或servlet环境时得到通知。Listener元素指出事件监听程序类。  
8. servlet 在向servlet或JSP页面制定初始化参数或定制URL时，必须首先命名servlet或JSP页面。Servlet元素就是用来完成此项任务的。  
9. servlet-mapping 服务器一般为servlet提供一个缺省的URL：<a href="http://host/webAppPrefix/servlet/ServletName">http://host /webAppPrefix/servlet/ServletName</a>。但是，常常会更改这个URL，以便servlet可以访问初 始化参数或更容易地处理相对URL。在更改缺省URL时，使用servlet-mapping元素。  
10. session- config 如果某个会话在一定时间内未被访问，服务器可以抛弃它以节省内存。可通过使用HttpSession的 setMaxInactiveInterval方法 明确设置单个会话对象的超时值，或者可利用session-config元素制定缺省超时值。  
11. mime-mapping 如果Web应用具有想到特殊的文件，希望能保证给他们分配特定的MIME类型，则mime-mapping元素提供这种保证。  
12. welcom-file-list welcome-file-list元素指示服务器在收到引用一个目录名而不是文件名的URL时，使用哪个文件。  
13. error-page error-page元素使得在返回特定HTTP状态代码时，或者特定类型的异常被抛出时，能够制定将要显示的页面。  
14. taglib taglib元素对标记库描述符文件（Tag Libraryu Descriptor file）指定别名。此功能使你能够更改TLD文件的位置，而不用编辑使用这些文件的JSP页面。  
15. resource-env-ref resource-env-ref元素声明与资源相关的一个管理对象。  
16. resource-ref resource-ref元素声明一个资源工厂使用的外部资源。  
17. security-constraint security-constraint元素制定应该保护的URL。它与login-config元素联合使用  
18. login-config 用login-config元素来指定服务器应该怎样给试图访问受保护页面的用户授权。它与sercurity-constraint元素联合使用。  
19. security-role security-role元素给出安全角色的一个列表，这些角色将出现在servlet元素内的security-role-ref元素的role-name子元素中。分别地声明角色可使高级IDE处理安全信息更为容易。  
20. env-entry env-entry元素声明Web应用的环境项。  
21. ejb-ref ejb-ref元素声明一个EJB的主目录的引用。  
22. l ejb-local-ref ejb-local-ref元素声明一个EJB的本地主目录的应用。  

sevlet配置

Java代码  

1. <servlet>  
2. <servlet-name>Test</servlet-name>  
3. <servlet-class>moreservlets.TestServlet</servlet-class>  
4. </servlet>   

   这 表示位于WEB-INF/classes/moreservlets/TestServlet的servlet已经得到了注册名Test。 给 servlet一个名称具有两个主要的含义。首先，初始化参数、定制的URL模式以及其他定制通过此注册名而不是类名引用此servlet。其次,可 在 URL而不是类名中使用此名称。因此，利用刚才给出的定义，URL http://host/webAppPrefix/servlet/Test 可用于 http://host/webAppPrefix/servlet/moreservlets.TestServlet 的场所。

Java代码  

1. <servlet-mapping>  
2. <servlet-name>Test</servlet-name>  
3. <url-pattern>/UrlTest</url-pattern>  
4. </servlet-mapping>  

 注意：元素出现地次序不是随意的。特别是，需要把所有servlet元素放在所有 servlet-mapping元素之前。

初始化和预装载servlet与JSP页面

     这里讨论控制servlet和JSP页面的启动行为的方法。特别是，说明了怎样分配初始化参数以及怎样更改服务器生存期中装载servlet和JSP页面的时刻。

     利用init-param元素向servlet提供初始化参数，init-param元素具有param-name和param-value子元素。例 如， 在下面的例子中，如果initServlet servlet是利用它的注册名（InitTest）访问的，它将能够从其方法中调用 getServletConfig(). getInitParameter("param1")获得"Value 1"，调用 getServletConfig().getInitParameter("param2")获得"2"。

Java代码  

1. <servlet>  
2. <servlet-name>InitTest</servlet-name>  
3. <servlet-class>moreservlets.InitServlet</servlet-class>  
4. <init-param>  
5. <param-name>param1</param-name>  
6. <param-value>value1</param-value>  
7. </init-param>  
8. <init-param>  
9. <param-name>param2</param-name>  
10. <param-value>2</param-value>  
11. </init-param>  
12. </servlet>  

 在涉及初始化参数时，有几点需要注意：

   l  返回值。GetInitParameter的返回值总是一个String

   l JSP中的初始化。JSP页面使用jspInit而不是init。JSP页面还需要使用jsp-file元素代替servlet-class。

   l 缺省URL。初始化参数只在通过它们的注册名或与它们注册名相关的定制URL模式访问Servlet时可以使用。

Java代码  

1. 程序清单5-7 InitServlet.java  
2. package moreservlets;  
3.   
4. import java.io.*;  
5. import javax.servlet.*;  
6. import javax.servlet.http.*;  
7.   
8. /** Simple servlet used to illustrate servlet 
9. * initialization parameters. 
10. * <P> 
11. * Taken from More Servlets and JavaServer Pages 
12. * from Prentice Hall and Sun Microsystems Press, 
13. * http://www.moreservlets.com/. 
14. * © 2002 Marty Hall; may be freely used or adapted. 
15. */  
16.   
17. public class InitServlet extends HttpServlet {  
18. private String firstName, emailAddress;  
19.   
20. public void init() {  
21. ServletConfig config = getServletConfig();  
22. firstName = config.getInitParameter("firstName");  
23. emailAddress = config.getInitParameter("emailAddress");  
24. }  
25.   
26. public void doGet(HttpServletRequest request,  
27. HttpServletResponse response)  
28. throws ServletException, IOException {  
29. response.setContentType("text/html");  
30. PrintWriter out = response.getWriter();  
31. String uri = request.getRequestURI();  
32. out.println(ServletUtilities.headWithTitle("Init Servlet") +  
33. "<BODY BGCOLOR="#FDF5E6"> " +  
34. "<H2>Init Parameters:</H2> " +  
35. "<UL> " +  
36. "<LI>First name: " + firstName + " " +  
37. "<LI>Email address: " + emailAddress + " " +  
38. "</UL> " +   
39. "</BODY></HTML>");  
40. }  
41. }  

　　分配JSP初始化参数

　　给JSP页面提供初始化参数在三个方面不同于给servlet提供初始化参数。

　　1）使用jsp-file而不是servlet-class。因此，WEB-INF/web.xml文件的servlet元素如下所示：

　　Java代码  

1. <servlet>  
2. <servlet-name>PageName</servlet-name>  
3. <jsp-file>/RealPage.jsp</jsp-file>  
4. <init-param>  
5. <param-name>...</param-name>  
6. <param-value>...</param-value>  
7. </init-param>  
8. ...  
9. </servlet>  

 2) 几乎总是分配一个明确的URL模式。对servlet，一般相应地使用以http://host/webAppPrefix /servlet/ 开始的缺省URL。只需记住，使用注册名而不是原名称即可。这对于JSP页面在技术上也是合法的。例如，在上面给出的例子中，可用 URL http://host/webAppPrefix/servlet/PageName 访问RealPage.jsp的对初始化参数具有访问权 的版本。但在用于JSP页面时，许多用户似乎不喜欢应用常规的servlet的URL。此外，如果 JSP页面位于服务器为其提供了目录清单的目录中 （如，一个既没有index.html也没有index.jsp文件的目录），则用户可能会连接到此 JSP页面，单击它，从而意外地激活未初始化的页 面。因此，好的办法是使用url-pattern（5.3节）将JSP页面的原URL与注册的 servlet名相关联。这样，客户机可使用JSP页面的 普通名称，但仍然激活定制的版本。例如，给定来自项目1的servlet定义，可使用下面的 servlet-mapping定义：

Java代码  

1. <servlet-mapping>  
2. <servlet-name>PageName</servlet-name>  
3. <url-pattern>/RealPage.jsp</url-pattern>  
4. </servlet-mapping>  

3）JSP页使用jspInit而不是init。自动从JSP页面建立的servlet或许已经使用了inti方法。因此，使用JSP声明提供一个init方法是不合法的，必须制定jspInit方法。

为 了说明初始化JSP页面的过程，程序清单5-9给出了一个名为InitPage.jsp的JSP页面，它包含一个jspInit方法且放置 于 deployDemo Web应用层次结构的顶层。一般，http://host/deployDemo/InitPage.jsp 形式的URL将 激活此页面的不具有初始化参数访问权的版本，从而将对firstName和emailAddress变量显示null。但是， web.xml文件（程序 清单5-10）分配了一个注册名，然后将该注册名与URL模式/InitPage.jsp相关联。

Java代码  

1. 程序清单5-9 InitPage.jsp  
2. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">  
3. <HTML>  
4. <HEAD><TITLE>JSP Init Test</TITLE></HEAD>  
5. <BODY BGCOLOR="#FDF5E6">  
6. <H2>Init Parameters:</H2>  
7. <UL>  
8. <LI>First name: <%= firstName %>  
9. <LI>Email address: <%= emailAddress %>  
10. </UL>  
11. </BODY></HTML>  
12. <%!  
13. private String firstName, emailAddress;  
14.   
15. public void jspInit() {  
16. ServletConfig config = getServletConfig();  
17. firstName = config.getInitParameter("firstName");  
18. emailAddress = config.getInitParameter("emailAddress");  
19. }  
20. %>  

Java代码  

1. 程序清单5-10 web.xml（说明JSP页面的init参数的摘录）  
2. <?xml version="1.0" encoding="ISO-8859-1"?>  
3. <!DOCTYPE web-app  
4. PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"  
5. "http://java.sun.com/dtd/web-app_2_3.dtd">  
6.   
7. <web-app>  
8. <!-- ... -->  
9. <servlet>  
10. <servlet-name>InitPage</servlet-name>  
11. <jsp-file>/InitPage.jsp</jsp-file>  
12. <init-param>  
13. <param-name>firstName</param-name>  
14. <param-value>Bill</param-value>  
15. </init-param>  
16. <init-param>  
17. <param-name>emailAddress</param-name>  
18. <param-value>gates@oracle.com</param-value>  
19. </init-param>  
20. </servlet>  
21. <!-- ... -->   
22. <servlet-mapping>  
23. <servlet-name> InitPage</servlet-name>  
24. <url-pattern>/InitPage.jsp</url-pattern>  
25. </servlet-mapping>  
26. <!-- ... -->  
27. </web-app>  

     提供应用范围内的初始化参数

　　一 般，对单个地servlet或JSP页面分配初始化参数。指定的servlet或JSP页面利用 ServletConfig的 getInitParameter方法读取这些参数。但是，在某些情形下，希望提供可由任意servlet或JSP页面借 助ServletContext 的getInitParameter方法读取的系统范围内的初始化参数。

可利用context-param元素声明这些系统范围内的初始化值。context-param元素应该包含param-name、param-value以及可选的description子元素，如下所示：

Java代码  

1. <context-param>  
2. <param-name>support-email</param-name>  
3. <param-value>blackhole@mycompany.com</param-value>  
4. </context-param>  

 web.xml内的元素必须以正确的次序声明。但这里应该注意，context-param元素必须出现任意与文档有关的元 素（icon、 display-name或description）之后及filter、filter-mapping、listener或 servlet元素之前。

　　在服务器启动时装载servlet

假 如servlet或JSP页面有一个要花很长时间执行的init （servlet）或jspInit（JSP）方法。例如，假如init或 jspInit方法从某个数据库或ResourceBundle查找产量。这种 情况下，在第一个客户机请求时装载servlet的缺省行为将对第一个客 户机产生较长时间的延迟。因此，可利用servlet的load-on- startup元素规定服务器在第一次启动时装载servlet。下面是一个例 子。

Java代码  

1. <servlet>  
2. <servlet-name> … </servlet-name>  
3. <servlet-class> … </servlet-class> <!-- Or jsp-file -->  
4. <load-on-startup/>  
5. </servlet>  

 可 以为此元素体提供一个整数而不是使用一个空的load-on-startup。想法是服务器应该在装载较大数目的servlet或JSP页面 之前装载较少 数目的servlet或JSP页面。例如，下面的servlet项（放置在Web应用的WEB-INF目录下的web.xml文件中的 web-app元素 内）将指示服务器首先装载和初始化SearchServlet，然后装载和初始化由位于Web应用的result目录中的 index.jsp文件产生的 servlet。

Java代码  

1. <servlet>  
2. <servlet-name>Search</servlet-name>  
3. <servlet-class>myPackage.SearchServlet</servlet-class> <!-- Or jsp-file -->  
4. <load-on-startup>1</load-on-startup>  
5. </servlet>  
6. <servlet>  
7. <servlet-name>Results</servlet-name>  
8. <servlet-class>/results/index.jsp</servlet-class> <!-- Or jsp-file -->  
9. <load-on-startup>2</load-on-startup>  
10. </servlet>  

声明过滤器

servlet版本2.3引入了过滤器的概念。虽然所有支持servlet API版本2.3的服务器都支持过滤器，但为了使用与过滤器有关的元素，必须在web.xml中使用版本2.3的DTD。

过 滤 器可截取和修改进入一个servlet或JSP页面的请求或从一个servlet或JSP页面发出的相应。在执行一个servlet或JSP页面之 前， 必须执行第一个相关的过滤器的doFilter方法。在该过滤器对其FilterChain对象调用doFilter时，执行链中的下一个过滤器。 如果没 有其他过滤器，servlet或JSP页面被执行。过滤器具有对到来的ServletRequest对象的全部访问权，因此，它们可以查看客户机 名、查找 到来的cookie等。为了访问servlet或JSP页面的输出，过滤器可将响应对象包裹在一个替身对象（stand-in object） 中，比方说把输出累加到一个缓冲区。在调用FilterChain对象的doFilter方法之后，过滤器可检查缓冲区，如有必要，就对它 进行修改，然 后传送到客户机。

例如，程序清单5-11帝国难以了一个简单的过滤器，只要访问相关的servlet或JSP页面，它就截取请求并在标准输出上打印一个报告（开发过程中在桌面系统上运行时，大多数服务器都可以使用这个过滤器）。

Java代码  

1. 程序清单5-11 ReportFilter.java  
2. package moreservlets;  
3.   
4. import java.io.*;  
5. import javax.servlet.*;  
6. import javax.servlet.http.*;  
7. import java.util.*;  
8.   
9. /** Simple filter that prints a report on the standard output  
10. * whenever the associated servlet or JSP page is accessed. 
11. * <P> 
12. * Taken from More Servlets and JavaServer Pages 
13. * from Prentice Hall and Sun Microsystems Press, 
14. * http://www.moreservlets.com/. 
15. * © 2002 Marty Hall; may be freely used or adapted. 
16. */  
17.   
18. public class ReportFilter implements Filter {  
19. public void doFilter(ServletRequest request,  
20. ServletResponse response,  
21. FilterChain chain)  
22. throws ServletException, IOException {  
23. HttpServletRequest req = (HttpServletRequest)request;  
24. System.out.println(req.getRemoteHost() +  
25. " tried to access " +  
26. req.getRequestURL() +  
27. " on " + new Date() + ".");  
28. chain.doFilter(request,response);  
29. }  
30.   
31. public void init(FilterConfig config)  
32. throws ServletException {  
33. }  
34.   
35. public void destroy() {}  
36. }  

 一 旦建立了一个过滤器，可以在web.xml中利用filter元素以及filter-name（任意名称）、file-class（完全限定 的类名）和 （可选的）init-params子元素声明它。请注意，元素在web.xml的web-app元素中出现的次序不是任意的；允许服务器（但 不是必需的） 强制所需的次序，并且实际中有些服务器也是这样做的。但这里要注意，所有filter元素必须出现在任意filter-mapping元素 之前， filter-mapping元素又必须出现在所有servlet或servlet-mapping元素之前。

例如，给定上述的ReportFilter类，可在web.xml中作出下面的filter声明。它把名称Reporter与实际的类ReportFilter（位于moreservlets程序包中）相关联。

<filter>

<filter-name>Reporter</filter-name>

<filter-class>moresevlets.ReportFilter</filter-class>

</filter>

一旦命名了一个过滤器，可利用filter-mapping元素把它与一个或多个servlet或JSP页面相关联。关于此项工作有两种选择。

首 先， 可使用filter-name和servlet-name子元素把此过滤器与一个特定的servlet名（此servlet名必须稍后在相同 的 web.xml文件中使用servlet元素声明）关联。例如，下面的程序片断指示系统只要利用一个定制的URL访问名为 SomeServletName 的servlet或JSP页面，就运行名为Reporter的过滤器。

Java代码  

1. <filter-mapping>  
2. <filter-name>Reporter</filter-name>  
3. <servlet-name>SomeServletName</servlet-name>  
4. </filter-mapping>  

 其次，可利用filter-name和url-pattern子元素将过滤器与一组servlet、JSP页面或静态内容相关联。例如，相面的程序片段指示系统只要访问Web应用中的任意URL，就运行名为Reporter的过滤器。

Java代码  

1. <filter-mapping>  
2. <filter-name>Reporter</filter-name>  
3. <url-pattern>/*</url-pattern>  
4. </filter-mapping>  

 例 如，程序清单5-12给出了将ReportFilter过滤器与名为PageName的servlet相关联的web.xml文件的一部分。 名字 PageName依次又与一个名为TestPage.jsp的JSP页面以及以模式http: //host/webAppPrefix /UrlTest2/ 开头的URL相关联。TestPage.jsp的源代码已经JSP页面命名的谈论在前面的3节"分配名称和定制的URL"中给出。 事实上，程序清单5- 12中的servlet和servlet-name项从该节原封不动地拿过来的。给定这些web.xml项，可看到下面的标准输出 形式的调试报告（换行是 为了容易阅读）。

audit.irs.gov tried to access 

http://mycompany.com/deployDemo/UrlTest2/business/tax-plan.html

on Tue Dec 25 13:12:29 EDT 2001.

程序清单5-12 Web.xml（说明filter用法的摘录）

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE web-app

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"

"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>

<filter>

<filter-name>Reporter</filter-name>

<filter-class>moresevlets.ReportFilter</filter-class>

</filter>

<!-- ... -->

<filter-mapping>

<filter-name>Reporter</filter-name>

<servlet-name>PageName</servlet-name>

</filter-mapping>

<!-- ... -->

<servlet>

<servlet-name>PageName</servlet-name>

<jsp-file>/RealPage.jsp</jsp-file>

</servlet>

<!-- ... -->

<servlet-mapping>

<servlet-name> PageName </servlet-name>

<url-pattern>/UrlTest2/*</url-pattern>

</servlet-mapping>

<!-- ... -->

</web-app>

指定欢迎页

假 如 用户提供了一个像http: //host/webAppPrefix/directoryName/ 这样的包含一个目录名但没有包含文件名的URL， 会发生什么事情呢？用户能得到一个目录表？一个错误？还是标准文件的内容？如果得到标准文件内容，是 index.html、index.jsp、 default.html、default.htm或别的什么东西呢？

Welcome-file-list 元素及其辅助的welcome- file元素解决了这个模糊的问题。例如，下面的web.xml项指出，如果一个URL给出一个目录名但未给出文件名，服 务器应该首先试用 index.jsp，然后再试用index.html。如果两者都没有找到，则结果有赖于所用的服务器（如一个目录列表）。

<welcome-file-list>

<welcome-file>index.jsp</welcome-file>

<welcome-file>index.html</welcome-file>

</welcome-file-list>

虽然许多服务器缺省遵循这种行为，但不一定必须这样。因此，明确地使用welcom-file-list保证可移植性是一种良好的习惯。

指定处理错误的页面

现 在 我了解到，你在开发servlet和JSP页面时从不会犯错误，而且你的所有页面是那样的清晰，一般的程序员都不会被它们的搞糊涂。但是，是人总会犯 错 误的，用户可能会提供不合规定的参数，使用不正确的URL或者不能提供必需的表单字段值。除此之外，其它开发人员可能不那么细心，他们应该有些工具来 克服 自己的不足。

error-page元素就是用来克服这些问题的。它有两个可能的子元素，分别是：error-code和 exception- type。第一个子元素error-code指出在给定的HTTP错误代码出现时使用的URL。第二个子元素excpetion- type指出在出现某个 给定的Java异常但未捕捉到时使用的URL。error-code和exception-type都利用location元素 指出相应的URL。此 URL必须以/开始。location所指出的位置处的页面可通过查找HttpServletRequest对象的两个专门的属性 来访问关于错误的信息， 这两个属性分别是：javax.servlet.error.status_code和 javax.servlet.error.message。

可回忆一下，在web.xml内以正确的次序声明web-app的子元素很重要。这里只要记住，error-page出现在web.xml文件的末尾附近，servlet、servlet-name和welcome-file-list之后即可。

8.1 error-code元素

为 了更好地了解error-code元素的值，可考虑一下如果不正确地输入文件名，大多数站点会作出什么反映。这样做一般会出现一个404错误信息，它表示 不能找到该文件，但几乎没提供更多有用的信息。另一方面，可以试一下在www.microsoft.com、www.ibm.com 处或者特别是在 www.bea.com 处输出未知的文件名。这是会得出有用的消息，这些消息提供可选择的位置，以便查找感兴趣的页面。提供这样有用的错误页面对于 Web应用来说是很有价值得。 事实上rm-error-page子元素）。由form-login-page给出的HTML表单必须具有一个 j_security_check的 ACTION属性、一个名为j_username的用户名文本字段以及一个名为j_password的口令字段。

例如，程序清单5-19指示服务器使用基于表单的验证。Web应用的顶层目录中的一个名为login.jsp的页面将收集用户名和口令，并且失败的登陆将由相同目录中名为login-error.jsp的页面报告。

程序清单5-19 web.xml（说明login-config的摘录）

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE web-app

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"

"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>

<!-- ... -->

<security-constraint> ... </security-constraint>

<login-config>

<auth-method> FORM </auth-method>

<form-login-config>

<form-login-page>/login.jsp</form-login-page>

<form-error-page>/login-error.jsp</form-error-page>

</form-login-config>

</login-config>

<!-- ... -->

</web-app>

9.2 限制对Web资源的访问

现 在， 可以指示服务器使用何种验证方法了。"了不起，"你说道，"除非我能指定一个来收到保护的 URL，否则没有多大用处。"没错。指出这些URL并说明他们 应该得到何种保护正是security-constriaint元素的用途。此元素在 web.xml中应该出现在login-config的紧前面。它 包含是个可能的子元素，分别是：web-resource-collection、 auth-constraint、user-data- constraint和display-name。下面各小节对它们进行介绍。

l web-resource-collection

此 元 素确定应该保护的资源。所有security-constraint元素都必须包含至少一个web-resource-collection项。此元 素 由一个给出任意标识名称的web-resource-name元素、一个确定应该保护的URL的url-pattern元素、一个指出此保护所适用 的 HTTP命令（GET、POST等，缺省为所有方法）的http-method元素和一个提供资料的可选description元素组成。例如，下面 的 Web-resource-collection项（在security-constratint元素内）指出Web应用的proprietary目 录中 所有文档应该受到保护。

<security-constraint>

<web-resource-coolection>

<web-resource-name>Proprietary</web-resource-name>

<url-pattern>/propritary/*</url-pattern>

</web-resource-coolection>

<!-- ... -->

</security-constraint>

重 要 的是应该注意到，url-pattern仅适用于直接访问这些资源的客户机。特别是，它不适合于通过MVC体系结构利 用 RequestDispatcher来访问的页面，或者不适合于利用类似jsp:forward的手段来访问的页面。这种不匀称如果利用得当的话很有 好 处。例如，servlet可利用MVC体系结构查找数据，把它放到bean中，发送请求到从bean中提取数据的JSP页面并显示它。我们希望保证决 不直 接访问受保护的JSP页面，而只是通过建立该页面将使用的bean的servlet来访问它。url-pattern和auth- contraint元素 可通过声明不允许任何用户直接访问JSP页面来提供这种保证。但是，这种不匀称的行为可能让开发人员放松警惕，使他们偶然对应受 保护的资源提供不受限制的 访问。 

l auth-constraint

尽管web-resource-collention元素质出了 哪些URL应该受到保护， 但是auth-constraint元素却指出哪些用户应该具有受保护资源的访问权。此元素应该包含一个或多个标识具有访问权 限的用户类别role- name元素，以及包含（可选）一个描述角色的description元素。例如，下面web.xml中的security- constraint元素部 门规定只有指定为Administrator或Big Kahuna（或两者）的用户具有指定资源的访问权。

<security-constraint>

<web-resource-coolection> ... </web-resource-coolection>

<auth-constraint>

<role-name>administrator</role-name>

<role-name>kahuna</role-name>

</auth-constraint>

</security-constraint>

重要的是认识到，到此为止，这个过程的可移植部分结束了。服务器怎样确定哪些用户处于任何角色以及它怎样存放用户的口令，完全有赖于具体的系统。

例如，Tomcat使用install_dir/conf/tomcat-users.xml将用户名与角色名和口令相关联，正如下面例子中所示，它指出用户joe（口令bigshot）和jane（口令enaj）属于administrator和kahuna角色。

<tomcat-users>

<user name="joe" password="bigshot" roles="administrator,kahuna" />

<user name="jane" password="enaj" roles="kahuna" />

</tomcat-users>

l user-data-constraint

这 个 可选的元素指出在访问相关资源时使用任何传输层保护。它必须包含一个transport-guarantee子元素（合法值为 NONE、 INTEGRAL或CONFIDENTIAL），并且可选地包含一个description元素。transport-guarantee为 NONE值将 对所用的通讯协议不加限制。INTEGRAL值表示数据必须以一种防止截取它的人阅读它的方式传送。虽然原理上（并且在未来的HTTP版本 中），在 INTEGRAL和CONFIDENTIAL之间可能会有差别，但在当前实践中，他们都只是简单地要求用SSL。例如，下面指示服务器只允许对 相关资源做 HTTPS连接：

<security-constraint>

<!-- ... -->

<user-data-constraint>

<transport-guarantee>CONFIDENTIAL</transport-guarantee>

</user-data-constraint>

</security-constraint>

l display-name

security-constraint的这个很少使用的子元素给予可能由GUI工具使用的安全约束项一个名称。

9.3 分配角色名

迄今为止，讨论已经集中到完全由容器（服务器）处理的安全问题之上了。但servlet以及JSP页面也能够处理它们自己的安全问题。

例 如， 容器可能允许用户从bigwig或bigcheese角色访问一个显示主管人员额外紧贴的页面，但只允许bigwig用户修改此页面的参数。完成这种 更 细致的控制的一种常见方法是调用HttpServletRequset的isUserInRole方法，并据此修改访问。

Servlet 的 security-role-ref子元素提供出现在服务器专用口令文件中的安全角色名的一个别名。例如，假如编写了一个调 用 request.isUserInRole（"boss"）的servlet，但后来该servlet被用在了一个其口令文件调用角色manager 而不 是boss的服务器中。下面的程序段使该servlet能够使用这两个名称中的任何一个。

<servlet>

<!-- ... -->

<security-role-ref>

<role-name>boss</role-name> <!-- New alias -->

<role-link>manager</role-link> <!-- Real name -->

</security-role-ref>

</servlet>

也可以在web-app内利用security-role元素提供将出现在role-name元素中的所有安全角色的一个全局列表。分别地生命角色使高级IDE容易处理安全信息。

10 控制会话超时

如 果 某个会话在一定的时间内未被访问，服务器可把它扔掉以节约内存。可利用HttpSession的setMaxInactiveInterval方法直 接 设置个别会话对象的超时值。如果不采用这种方法，则缺省的超时值由具体的服务器决定。但可利用session-config和 session- timeout元素来给出一个适用于所有服务器的明确的超时值。超时值的单位为分钟，因此，下面的例子设置缺省会话超时值为三个小时 （180分钟）。

<session-config>

<session-timeout>180</session-timeout>

</session-config>

11 Web应用的文档化

越 来 越多的开发环境开始提供servlet和JSP的直接支持。例子有Borland Jbuilder Enterprise Edition、 Macromedia UltraDev、Allaire JRun Studio（写此文时，已被Macromedia收购）以及 IBM VisuaAge for Java等。

大量的web.xml元素不仅是为服务器设计的，而且还是为可视开发环境设计的。它们包括icon、display-name和discription等。

可回忆一下，在web.xml内以适当地次序声明web-app子元素很重要。不过，这里只要记住icon、display-name和description是web.xml的web-app元素内的前三个合法元素即可。

l icon

icon元素指出GUI工具可用来代表Web应用的一个和两个图像文件。可利用small-icon元素指定一幅16 x 16的GIF或JPEG图像，用large-icon元素指定一幅32 x 32的图像。下面举一个例子： 

<icon>

<small-icon>/images/small-book.gif</small-icon>

<large-icon>/images/tome.jpg</large-icon>

</icon>

l display-name

display-name元素提供GUI工具可能会用来标记此Web应用的一个名称。下面是个例子。

<display-name>Rare Books</display-name>

l description

description元素提供解释性文本，如下所示：

<description>

This Web application represents the store developed for

rare-books.com, an online bookstore specializing in rare

and limited-edition books.

</description>

12 配置下载文件

Xml代码  

1. <mime-mapping>   
2. <extension>doc</extension>  
3. <mime-type>application/msword</mime-type>   
4. </mime-mapping>   
5. <mime-mapping>   
6. <extension>xls</extension>   
7. <mime-type>application/msexcel</mime-type>   
8. </mime-mapping>   
9. <mime-mapping>   
10. <extension>pdf</extension>   
11. <mime-type>application/pdf</mime-type>   
12. </mime-mapping>  
13. <mime-mapping>   
14. <extension>zip</extension>   
15. <mime-type>application/zip</mime-type>   
16. </mime-mapping>  
17. <mime-mapping>   
18. <extension>rar</extension>   
19. <mime-type>application/rar</mime-type>   
20. </mime-mapping>  
21. <mime-mapping>   
22. <extension>txt</extension>   
23. <mime-type>application/txt</mime-type>   
24. </mime-mapping>  
25. <mime-mapping>   
26. <extension>chm</extension>   
27. <mime-type>application/mshelp</mime-type>  
28. </mime-mapping>   
29. <mime-mapping>  
30.  <extension>mp3</extension>  
31.  <mime-type>audio/x-mpeg</mime-type>  
32. </mime-mapping>  
• 普通文本 .txt text/plain   
• RTF文本 .rtf application/rtf   
• GIF图形 .gif image/gif   
• JPEG图形 .ipeg,.jpg image/jpeg   
• au声音文件 .au audio/basic   
• MIDI音乐文件 mid,.midi audio/midi,audio/x-midi   
• RealAudio音乐文件 .ra, .ram audio/x-pn-realaudio   
• MPEG文件 .mpg,.mpeg video/mpeg   
• AVI文件 .avi video/x-msvideo   
• GZIP文件 .gz application/x-gzip   
• TAR文件 .tar application/x-tar