关于Web.xml配置的详细说明


关于 web.xml 配置的详细说明 1 定义头和根元素 部署描述符文件就像所有 XML 文件一样,必须以一个 XML 头开始。这个头声明可 以使用的 XML 版本并给出文件的字符编码。 DOCYTPE 声明必须立即出现在此头之后。这个声明告诉服务器适用的 servlet 规范的版本 (如 2.2 或 2.3)并指定管理此文件其余部分内容的语法的 DTD(Document Type Definition, 文档类型定义)。 所有部署描述符文件的顶层(根)元素为 web-app。请注意,XML 元素不像 HTML,他们是 大小写敏感的。因此,web-App 和 WEB-APP 都是不合法的,web-app 必须用小写。 2 部署描述符文件内的元素次序 XML 元素不仅是大小写敏感的,而且它们还对出现在其他元素中的次序敏感。例如,XML 头必须是文件中的第一项,DOCTYPE 声明必须是第二项,而 web- app 元素必须是第三项。 在 web-app 元素内,元素的次序也很重要。服务器不一定强制要求这种次序,但它们允许 (实际上有些服务器就是这样做的)完全拒绝执行含有次序不正确的元素的 Web 应用。这 表示使用非标准元素次序的 web.xml 文件是不可移植的。 下面的列表给出了所有可直接出现在 web-app 元素内的合法元素所必需的次序。例如,此列 表说明 servlet 元素必须出现在所有 servlet-mapping 元素之前。请注意,所有这些元素都是可 选的。因此,可以省略掉某一元素,但不能把它放于不正确的位置。 l icon icon 元素指出 IDE 和 GUI 工具用来表示 Web 应用的一个和两个图像文件的位置。 l display-name display-name 元素提供 GUI 工具可能会用来标记这个特定的 Web 应用的一个名 称。 l description description 元素给出与此有关的说明性文本。 l context-param context-param 元素声明应用范围内的初始化参数。 l filter 过滤器元素将一个名字与一个实现 javax.servlet.Filter 接口的类相关联。 l filter-mapping 一旦命名了一个过滤器,就要利用 filter-mapping 元素把它与一个或多个 servlet 或 JSP 页面相关联。 l listener servlet API 的版本 2.3 增加了对事件监听程序的支持,事件监听程序在建立、修改和 删除会话或 servlet 环境时得到通知。Listener 元素指出事件监听程序类。 l servlet 在向 servlet 或 JSP 页面制定初始化参数或定制 URL 时,必须首先命名 servlet 或 JSP 页面。Servlet 元素就是用来完成此项任务的。 l servlet-mapping 服务器一般为 servlet 提供一个缺省的 URL: http://host/webAppPrefix/servlet/ServletName 。但是,常常会更改这个 URL ,以便 servlet 可以 访问初始化参数或更容易地处理相对 URL 。在更改缺省 URL 时,使用 servlet-mapping 元素 。 l session-config 如果某个会话在一定时间内未被访问,服务器可以抛弃它以节省内存。可通 过使用 HttpSession 的 setMaxInactiveInterval 方法明确设置单个会话对象的超时值,或者可利 用 session-config 元素制定缺省超时值。 l mime-mapping 如果 Web 应用具有想到特殊的文件,希望能保证给他们分配特定的 MIME 类型,则 mime-mapping 元素提供这种保证。 l welcom-file-list welcome-file-list 元素指示服务器在收到引用一个目录名而不是文件名的 URL 时,使用哪个文件。 l error-page error-page 元素使得在返回特定 HTTP 状态代码时,或者特定类型的异常被抛出 时,能够制定将要显示的页面。 l taglib taglib 元素对标记库描述符文件(Tag Libraryu Descriptor file)指定别名。此功能使你 能够更改 TLD 文件的位置,而不用编辑使用这些文件的 JSP 页面。 l resource-env-ref resource-env-ref 元素声明与资源相关的一个管理对象。 l resource-ref resource-ref 元素声明一个资源工厂使用的外部资源。 l security-constraint security-constraint 元素制定应该保护的 URL。它与 login-config 元素联合 使用 l login-config 用 login-config 元素来指定服务器应该怎样给试图访问受保护页面的用户授权。 它与 sercurity-constraint 元素联合使用。 l security-role security-role 元素给出安全角色的一个列表,这些角色将出现在 servlet 元素内的 security-role-ref 元素的 role-name 子元素中。分别地声明角色可使高级 IDE 处理安全信息更 为容易。 l env-entry env-entry 元素声明 Web 应用的环境项。 l ejb-ref ejb-ref 元素声明一个 EJB 的主目录的引用。 l ejb-local-ref ejb-local-ref 元素声明一个 EJB 的本地主目录的应用。 3 分配名称和定制的 UL 在 web.xml 中完成的一个最常见的任务是对 servlet 或 JSP 页面给出名称和定制的 URL。用 servlet 元素分配名称,使用 servlet-mapping 元素将定制的 URL 与刚分配的名称相关联。 3.1 分配名称 为了提供初始化参数,对 servlet 或 JSP 页面定义一个定制 URL 或分配一个安全角色,必须 首先给 servlet 或 JSP 页面一个名称。可通过 servlet 元素分配一个名称。最常见的格式包括 servlet-name 和 servlet-class 子元素(在 web-app 元素内),如下所示: Test moreservlets.TestServlet 这表示位于 WEB-INF/classes/moreservlets/TestServlet 的 servlet 已经得到了注册名 Test。给 servlet 一个名称具有两个主要的含义。首先,初始化参数、定制的 URL 模式以及其他定制 通过此注册名而不是类名引用此 servlet。其次,可在 URL 而不是类名中使用此名称。因此, 利用刚才给出的定义,URL http://host/webAppPrefix/servlet/Test 可用于 http://host/webAppPrefix/servlet/moreservlets.TestServlet 的场所。 请记住:XML 元素不仅是大小写敏感的,而且定义它们的次序也很重要。例如,web-app 元 素内所有 servlet 元素必须位于所有 servlet- mapping 元素(下一小节介绍)之前,而且还要 位于 5.6 节和 5.11 节讨论的与过滤器或文档相关的元素(如果有的话)之前。类似地, servlet 的 servlet-name 子元素也必须出现在 servlet-class 之前。5.2 节"部署描述符文件内的元 素次序"将详细介绍这种必需的次序。 例如,程序清单 5-1 给出了一个名为 TestServlet 的简单 servlet,它驻留在 moreservlets 程序包 中。因为此 servlet 是扎根在一个名为 deployDemo 的目录中的 Web 应用的组成部分,所以 TestServlet.class 放在 deployDemo/WEB- INF/classes/moreservlets 中。程序清单 5-2 给出将放 置在 deployDemo/WEB-INF/内的 web.xml 文件的一部分。此 web.xml 文件使用 servlet-name 和 servlet-class 元素将名称 Test 与 TestServlet.class 相关联。图 5-1 和图 5-2 分别显示利用缺 省 URL 和注册名调用 TestServlet 时的结果。 程序清单 5-1 TestServlet.java package moreservlets; import java.io.*; import javax.servlet.*; import javax.servlet.http.*; /** Simple servlet used to illustrate servlet naming * and custom URLs. *

* Taken from More Servlets and JavaServer Pages * from Prentice Hall and Sun Microsystems Press, * http://www.moreservlets.com/. * ? 2002 Marty Hall; may be freely used or adapted. */ public class TestServlet extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { response.setContentType("text/html"); PrintWriter out = response.getWriter(); String uri = request.getRequestURI(); out.println(ServletUtilities.headWithTitle("Test Servlet") + "\n" + "

URI: " + uri + "

\n" + ""); } } 程序清单 5-2 web.xml(说明 servlet 名称的摘录) Test moreservlets.TestServlet 3.2 定义定制的 URL 大多数服务器具有一个缺省的 serlvet URL: http://host/webAppPrefix/servlet/packageName.ServletName 。虽然在开发中使用这个 URL 很方 便,但是我们常常会希望另一个 URL 用于部署。例如,可能会需要一个出现在 Web 应用顶 层的 URL (如, http: //host/webAppPrefix/Anyname),并且在此 URL 中没有 servlet 项。位 于顶层的 URL 简化了相对 URL 的使用。此外,对许多开发人员来说,顶层 URL 看上去比 更长更麻烦的缺省 URL 更简短。 事实上,有时需要使用定制的 URL。比如,你可能想关闭缺省 URL 映射,以便更好地强制 实施安全限制或防止用户意外地访问无初始化参数的 servlet。如果你禁止了缺省的 URL,那 么你怎样访问 servlet 呢?这时只有使用定制的 URL 了。 为了分配一个定制的 URL,可使用 servlet-mapping 元素及其 servlet-name 和 url-pattern 子元 素。Servlet- name 元素提供了一个任意名称,可利用此名称引用相应的 servlet;url-pattern 描 述了相对于 Web 应用的根目录的 URL。url- pattern 元素的值必须以斜杠(/)起始。 下面给出一个简单的 web.xml 摘录,它允许使用 URL http://host/webAppPrefix/UrlTest 而不是 http://host/webAppPrefix/servlet/Test 或 http: //host/webAppPrefix/servlet/moreservlets.TestServlet。请注意,仍然需要 XML 头、 DOCTYPE 声明以及 web-app 封闭元素。此外,可回忆一下,XML 元素出现地次序不是随意 的。特别是,需要把所有 servlet 元素放在所有 servlet-mapping 元素之前。 Test moreservlets.TestServlet Test /UrlTest URL 模式还可以包含通配符。例如,下面的小程序指示服务器发送所有以 Web 应用的 URL 前缀开始,以..asp 结束的请求到名为 BashMS 的 servlet。 BashMS msUtils.ASPTranslator BashMS /*.asp 3.3 命名 JSP 页面 因为 JSP 页面要转换成 sevlet,自然希望就像命名 servlet 一样命名 JSP 页面。毕竟,JSP 页面 可能会从初始化参数、安全设置或定制的 URL 中受益,正如普通的 serlvet 那样。虽然 JSP 页面的后台实际上是 servlet 这句话是正确的,但存在一个关键的猜疑:即,你不知道 JSP 页 面的实际类名(因为系统自己挑选这个名字)。因此,为了命名 JSP 页面,可将 jsp-file 元素 替换为 servlet-calss 元素,如下所示: Test /TestPage.jsp 命名 JSP 页面的原因与命名 servlet 的原因完全相同:即为了提供一个与定制设置(如,初始 化参数和安全设置)一起使用的名称,并且,以便能更改激活 JSP 页面的 URL(比方说, 以便多个 URL 通过相同页面得以处理,或者从 URL 中去掉.jsp 扩展名)。但是,在设置初 始化参数时,应该注意,JSP 页面是利用 jspInit 方法,而不是 init 方法读取初始化参数的。 例如,程序清单 5-3 给出一个名为 TestPage.jsp 的简单 JSP 页面,它的工作只是打印出用来激 活它的 URL 的本地部分。TestPage.jsp 放置在 deployDemo 应用的顶层。程序清单 5-4 给出了 用来分配一个注册名 PageName,然后将此注册名与 http://host/webAppPrefix/UrlTest2/anything 形式的 URL 相关联的 web.xml 文件(即, deployDemo/WEB-INF/web.xml)的一部分。 程序清单 5-3 TestPage.jsp JSP Test Page

URI: <%= request.getRequestURI() %>

程序清单 5-4 web.xml(说明 JSP 页命名的摘录) PageName /TestPage.jsp PageName /UrlTest2/* 4 禁止激活器 servlet 对 servlet 或 JSP 页面建立定制 URL 的一个原因是,这样做可以注册从 init(servlet)或 jspInit(JSP 页面)方法中读取得初始化参数。但是,初始化参数只在是利用定制 URL 模式 或注册名访问 servlet 或 JSP 页面时可以使用,用缺省 URL http://host/webAppPrefix/servlet/ServletName 访问时不能使用。因此,你可能会希望关闭缺省 URL,这样就不会有人意外地调用初始化 servlet 了。这个过程有时称为禁止激活器 servlet, 因为多数服务器具有一个用缺省的 servlet URL 注册的标准 servlet,并激活缺省的 URL 应用 的实际 servlet。 有两种禁止此缺省 URL 的主要方法: l 在每个 Web 应用中重新映射/servlet/模式。 l 全局关闭激活器 servlet。 重要的是应该注意到,虽然重新映射每个 Web 应用中的/servlet/模式比彻底禁止激活 servlet 所做的工作更多,但重新映射可以用一种完全可移植的方式来完成。相反,全局禁止激活器 servlet 完全是针对具体机器的,事实上有的服务器(如 ServletExec)没有这样的选择。下面 的讨论对每个 Web 应用重新映射/servlet/ URL 模式的策略。后面提供在 Tomcat 中全局禁止 激活器 servlet 的详细内容。 4.1 重新映射/servlet/URL 模式 在一个特定的 Web 应用中禁止以 http://host/webAppPrefix/servlet/ 开始的 URL 的处理非常简 单。所需做的事情就是建立一个错误消息 servlet,并使用前一节讨论的 url-pattern 元素将所 有匹配请求转向该 servlet。只要简单地使用: /servlet/* 作为 servlet-mapping 元素中的模式即可。 例如,程序清单 5-5 给出了将 SorryServlet servlet(程序清单 5-6)与所有以 http://host/webAppPrefix/servlet/ 开头的 URL 相关联的部署描述符文件的一部分。 程序清单 5-5 web.xml(说明 JSP 页命名的摘录) Sorry moreservlets.SorryServlet Sorry /servlet/* 程序清单 5-6 SorryServlet.java package moreservlets; import java.io.*; import javax.servlet.*; import javax.servlet.http.*; /** Simple servlet used to give error messages to * users who try to access default servlet URLs * (i.e., http://host/webAppPrefix/servlet/ServletName) * in Web applications that have disabled this * behavior. *

* Taken from More Servlets and JavaServer Pages * from Prentice Hall and Sun Microsystems Press, * http://www.moreservlets.com/. * ? 2002 Marty Hall; may be freely used or adapted. */ public class SorryServlet extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { response.setContentType("text/html"); PrintWriter out = response.getWriter(); String title = "Invoker Servlet Disabled."; out.println(ServletUtilities.headWithTitle(title) + "\n" + "

" + title + "

\n" + "Sorry, access to servlets by means of\n" + "URLs that begin with\n" + "http://host/webAppPrefix/servlet/\n" + "has been disabled.\n" + ""); } public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { doGet(request, response); } } 4.2 全局禁止激活器:Tomcat Tomcat 4 中用来关闭缺省 URL 的方法与 Tomcat 3 中所用的很不相同。下面介绍这两种方法: 1.禁止激活器: Tomcat 4 Tomcat 4 用与前面相同的方法关闭激活器 servlet,即利用 web.xml 中的 url-mapping 元素进行 关闭。不同之处在于 Tomcat 使用了放在 install_dir/conf 中的一个服务器专用的全局 web.xml 文件,而前面使用的是存放在每个 Web 应用的 WEB-INF 目录中的标准 web.xml 文件。 因此,为了在 Tomcat 4 中关闭激活器 servlet,只需在 install_dir/conf/web.xml 中简单地注释 出/servlet/* URL 映射项即可,如下所示: 再次提醒,应该注意这个项是位于存放在 install_dir/conf 的 Tomcat 专用的 web.xml 文件中的, 此文件不是存放在每个 Web 应用的 WEB-INF 目录中的标准 web.xml。 2.禁止激活器:Tomcat3 在 Apache Tomcat 的版本 3 中,通过在 install_dir/conf/server.xml 中注释出 InvokerInterceptor 项全局禁止缺省 servlet URL。例如,下面是禁止使用缺省 servlet URL 的 server.xml 文件的 一部分。 5 初始化和预装载 servlet 与 JSP 页面 这里讨论控制 servlet 和 JSP 页面的启动行为的方法。特别是,说明了怎样分配初始化参数以 及怎样更改服务器生存期中装载 servlet 和 JSP 页面的时刻。 5.1 分配 servlet 初始化参数 利用 init-param 元素向 servlet 提供初始化参数,init-param 元素具有 param-name 和 param- value 子元素。例如,在下面的例子中,如果 initServlet servlet 是利用它的注册名(InitTest) 访问的,它将能够从其方法中调用 getServletConfig(). getInitParameter("param1")获得"Value 1",调用 getServletConfig().getInitParameter("param2")获得"2"。 InitTest moreservlets.InitServlet param1 value1 param2 2 在涉及初始化参数时,有几点需要注意: l 返回值。GetInitParameter 的返回值总是一个 String。因此,在前一个例子中,可对 param2 使用 Integer.parseInt 获得一个 int。 l JSP 中的初始化。JSP 页面使用 jspInit 而不是 init。JSP 页面还需要使用 jsp-file 元素代替 servlet-class。 l 缺省 URL。初始化参数只在通过它们的注册名或与它们注册名相关的定制 URL 模式访问 Servlet 时可以使用。因此,在这个例子中,param1 和 param2 初始化参数将能够在使用 URL http://host/webAppPrefix/servlet/InitTest 时可用,但在使用 URL http://host/webAppPrefix/servlet/myPackage.InitServlet 时不能使用。 例如,程序清单 5-7 给出一个名为 InitServlet 的简单 servlet,它使用 init 方法设置 firstName 和 emailAddress 字段。程序清单 5-8 给出分配名称 InitTest 给 servlet 的 web.xml 文件。 程序清单 5-7 InitServlet.java package moreservlets; import java.io.*; import javax.servlet.*; import javax.servlet.http.*; /** Simple servlet used to illustrate servlet * initialization parameters. *

* Taken from More Servlets and JavaServer Pages * from Prentice Hall and Sun Microsystems Press, * http://www.moreservlets.com/. * ? 2002 Marty Hall; may be freely used or adapted. */ public class InitServlet extends HttpServlet { private String firstName, emailAddress; public void init() { ServletConfig config = getServletConfig(); firstName = config.getInitParameter("firstName"); emailAddress = config.getInitParameter("emailAddress"); } public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { response.setContentType("text/html"); PrintWriter out = response.getWriter(); String uri = request.getRequestURI(); out.println(ServletUtilities.headWithTitle("Init Servlet") + "\n" + "

Init Parameters:

\n" + "
    \n" + "
  • First name: " + firstName + "\n" + "
  • Email address: " + emailAddress + "\n" + "
\n" + ""); } } 程序清单 5-8 web.xml(说明初始化参数的摘录) InitTest moreservlets.InitServlet firstName Larry emailAddress Ellison@Microsoft.com 5.2 分配 JSP 初始化参数 给 JSP 页面提供初始化参数在三个方面不同于给 servlet 提供初始化参数。 1)使用 jsp-file 而不是 servlet-class。因此,WEB-INF/web.xml 文件的 servlet 元素如下所示: PageName /RealPage.jsp ... ... ... 2) 几乎总是分配一个明确的 URL 模式。对 servlet,一般相应地使用以 http://host/webAppPrefix/servlet/ 开始的缺省 URL。只需记住,使用注册名而不是原名称即可。 这对于 JSP 页面在技术上也是合法的。例如,在上面给出的例子中,可用 URL http://host/webAppPrefix/servlet/PageName 访问 RealPage.jsp 的对初始化参数具有访问权的版 本。但在用于 JSP 页面时,许多用户似乎不喜欢应用常规的 servlet 的 URL。此外,如果 JSP 页面位于服务器为其提供了目录清单的目录中(如,一个既没有 index.html 也没有 index.jsp 文件的目录),则用户可能会连接到此 JSP 页面,单击它,从而意外地激活未初始 化的页面。因此,好的办法是使用 url-pattern(5.3 节)将 JSP 页面的原 URL 与注册的 servlet 名相关联。这样,客户机可使用 JSP 页面的普通名称,但仍然激活定制的版本。例如, 给定来自项目 1 的 servlet 定义,可使用下面的 servlet-mapping 定义: PageName /RealPage.jsp 3)JSP 页使用 jspInit 而不是 init。自动从 JSP 页面建立的 servlet 或许已经使用了 inti 方法。 因此,使用 JSP 声明提供一个 init 方法是不合法的,必须制定 jspInit 方法。 为了说明初始化 JSP 页面的过程,程序清单 5-9 给出了一个名为 InitPage.jsp 的 JSP 页面,它 包含一个 jspInit 方法且放置于 deployDemo Web 应用层次结构的顶层。一般, http://host/deployDemo/InitPage.jsp 形式的 URL 将激活此页面的不具有初始化参数访问权的 版本,从而将对 firstName 和 emailAddress 变量显示 null。但是, web.xml 文件(程序清单 5-10)分配了一个注册名,然后将该注册名与 URL 模式/InitPage.jsp 相关联。 程序清单 5-9 InitPage.jsp JSP Init Test

Init Parameters:

  • First name: <%= firstName %>
  • Email address: <%= emailAddress %>
<%! private String firstName, emailAddress; public void jspInit() { ServletConfig config = getServletConfig(); firstName = config.getInitParameter("firstName"); emailAddress = config.getInitParameter("emailAddress"); } %> 程序清单 5-10 web.xml(说明 JSP 页面的 init 参数的摘录) InitPage /InitPage.jsp firstName Bill emailAddress gates@oracle.com InitPage /InitPage.jsp 5.3 提供应用范围内的初始化参数 一般,对单个地 servlet 或 JSP 页面分配初始化参数。指定的 servlet 或 JSP 页面利用 ServletConfig 的 getInitParameter 方法读取这些参数。但是,在某些情形下,希望提供可由 任意 servlet 或 JSP 页面借助 ServletContext 的 getInitParameter 方法读取的系统范围内的初始 化参数。 可利用 context-param 元素声明这些系统范围内的初始化值。context-param 元素应该包含 param-name、param-value 以及可选的 description 子元素,如下所示: support-email blackhole@mycompany.com 可回忆一下,为了保证可移植性,web.xml 内的元素必须以正确的次序声明。但这里应该注 意,context-param 元素必须出现任意与文档有关的元素(icon、display-name 或 description) 之后及 filter、filter-mapping、listener 或 servlet 元素之前。 5.4 在服务器启动时装载 servlet 假如 servlet 或 JSP 页面有一个要花很长时间执行的 init (servlet)或 jspInit(JSP)方法。例 如,假如 init 或 jspInit 方法从某个数据库或 ResourceBundle 查找产量。这种情况下,在第一 个客户机请求时装载 servlet 的缺省行为将对第一个客户机产生较长时间的延迟。因此,可利 用 servlet 的 load-on- startup 元素规定服务器在第一次启动时装载 servlet。下面是一个例子。 可以为此元素体提供一个整数而不是使用一个空的 load-on-startup。想法是服务器应该在装 载较大数目的 servlet 或 JSP 页面之前装载较少数目的 servlet 或 JSP 页面。例如,下面的 servlet 项(放置在 Web 应用的 WEB-INF 目录下的 web.xml 文件中的 web-app 元素内)将指 示服务器首先装载和初始化 SearchServlet,然后装载和初始化由位于 Web 应用的 result 目录 中的 index.jsp 文件产生的 servlet。 Search myPackage.SearchServlet 1 Results /results/index.jsp 2 6 声明过滤器 servlet 版本 2.3 引入了过滤器的概念。虽然所有支持 servlet API 版本 2.3 的服务器都支持过滤 器,但为了使用与过滤器有关的元素,必须在 web.xml 中使用版本 2.3 的 DTD。 过滤器可截取和修改进入一个 servlet 或 JSP 页面的请求或从一个 servlet 或 JSP 页面发出的相 应。在执行一个 servlet 或 JSP 页面之前,必须执行第一个相关的过滤器的 doFilter 方法。在 该过滤器对其 FilterChain 对象调用 doFilter 时,执行链中的下一个过滤器。如果没有其他过 滤器,servlet 或 JSP 页面被执行。过滤器具有对到来的 ServletRequest 对象的全部访问权, 因此,它们可以查看客户机名、查找到来的 cookie 等。为了访问 servlet 或 JSP 页面的输出, 过滤器可将响应对象包裹在一个替身对象(stand-in object)中,比方说把输出累加到一个缓 冲区。在调用 FilterChain 对象的 doFilter 方法之后,过滤器可检查缓冲区,如有必要,就对 它进行修改,然后传送到客户机。 例如,程序清单 5-11 帝国难以了一个简单的过滤器,只要访问相关的 servlet 或 JSP 页面, 它就截取请求并在标准输出上打印一个报告(开发过程中在桌面系统上运行时,大多数服务 器都可以使用这个过滤器)。 程序清单 5-11 ReportFilter.java package moreservlets; import java.io.*; import javax.servlet.*; import javax.servlet.http.*; import java.util.*; /** Simple filter that prints a report on the standard output * whenever the associated servlet or JSP page is accessed. *

* Taken from More Servlets and JavaServer Pages * from Prentice Hall and Sun Microsystems Press, * http://www.moreservlets.com/. * ? 2002 Marty Hall; may be freely used or adapted. */ public class ReportFilter implements Filter { public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException { HttpServletRequest req = (HttpServletRequest)request; System.out.println(req.getRemoteHost() + " tried to access " + req.getRequestURL() + " on " + new Date() + "."); chain.doFilter(request,response); } public void init(FilterConfig config) throws ServletException { } public void destroy() {} } 一旦建立了一个过滤器,可以在 web.xml 中利用 filter 元素以及 filter-name(任意名称)、 file-class(完全限定的类名)和(可选的)init-params 子元素声明它。请注意,元素在 web.xml 的 web-app 元素中出现的次序不是任意的;允许服务器(但不是必需的)强制所需 的次序,并且实际中有些服务器也是这样做的。但这里要注意,所有 filter 元素必须出现在 任意 filter-mapping 元素之前, filter-mapping 元素又必须出现在所有 servlet 或 servlet- mapping 元素之前。 例如,给定上述的 ReportFilter 类,可在 web.xml 中作出下面的 filter 声明。它把名称 Reporter 与实际的类 ReportFilter(位于 moreservlets 程序包中)相关联。 Reporter moresevlets.ReportFilter 一旦命名了一个过滤器,可利用 filter-mapping 元素把它与一个或多个 servlet 或 JSP 页面相关 联。关于此项工作有两种选择。 首先,可使用 filter-name 和 servlet-name 子元素把此过滤器与一个特定的 servlet 名(此 servlet 名必须稍后在相同的 web.xml 文件中使用 servlet 元素声明)关联。例如,下面的程序 片断指示系统只要利用一个定制的 URL 访问名为 SomeServletName 的 servlet 或 JSP 页面, 就运行名为 Reporter 的过滤器。 Reporter SomeServletName 其次,可利用 filter-name 和 url-pattern 子元素将过滤器与一组 servlet、JSP 页面或静态内容相 关联。例如,相面的程序片段指示系统只要访问 Web 应用中的任意 URL,就运行名为 Reporter 的过滤器。 Reporter /* 例如,程序清单 5-12 给出了将 ReportFilter 过滤器与名为 PageName 的 servlet 相关联的 web.xml 文件的一部分。名字 PageName 依次又与一个名为 TestPage.jsp 的 JSP 页面以及以模 式 http: //host/webAppPrefix/UrlTest2/ 开头的 URL 相关联。TestPage.jsp 的源代码已经 JSP 页 面命名的谈论在前面的 3 节"分配名称和定制的 URL"中给出。事实上,程序清单 5- 12 中的 servlet 和 servlet-name 项从该节原封不动地拿过来的。给定这些 web.xml 项,可看到下面的 标准输出形式的调试报告(换行是为了容易阅读)。 audit.irs.gov tried to access http://mycompany.com/deployDemo/UrlTest2/business/tax-plan.html on Tue Dec 25 13:12:29 EDT 2001. 程序清单 5-12 Web.xml(说明 filter 用法的摘录) Reporter moresevlets.ReportFilter Reporter PageName PageName /RealPage.jsp PageName /UrlTest2/* 7 指定欢迎页 假如用户提供了一个像 http: //host/webAppPrefix/directoryName/ 这样的包含一个目录名但没 有包含文件名的 URL,会发生什么事情呢?用户能得到一个目录表?一个错误?还是标准 文件的内容?如果得到标准文件内容,是 index.html、index.jsp、default.html、default.htm 或 别的什么东西呢? Welcome-file-list 元素及其辅助的 welcome-file 元素解决了这个模糊的问题。例如,下面的 web.xml 项指出,如果一个 URL 给出一个目录名但未给出文件名,服务器应该首先试用 index.jsp,然后再试用 index.html。如果两者都没有找到,则结果有赖于所用的服务器(如一 个目录列表)。 index.jsp index.html 虽然许多服务器缺省遵循这种行为,但不一定必须这样。因此,明确地使用 welcom-file-list 保证可移植性是一种良好的习惯。 8 指定处理错误的页面 现在我了解到,你在开发 servlet 和 JSP 页面时从不会犯错误,而且你的所有页面是那样的清 晰,一般的程序员都不会被它们的搞糊涂。但是,是人总会犯错误的,用户可能会提供不合 规定的参数,使用不正确的 URL 或者不能提供必需的表单字段值。除此之外,其它开发人 员可能不那么细心,他们应该有些工具来克服自己的不足。 error-page 元素就是用来克服这些问题的。它有两个可能的子元素,分别是:error-code 和 exception- type。第一个子元素 error-code 指出在给定的 HTTP 错误代码出现时使用的 URL。 第二个子元素 excpetion-type 指出在出现某个给定的 Java 异常但未捕捉到时使用的 URL。error-code 和 exception-type 都利用 location 元素指出相应的 URL。此 URL 必须以/开 始。location 所指出的位置处的页面可通过查找 HttpServletRequest 对象的两个专门的属性来 访问关于错误的信息,这两个属性分别是:javax.servlet.error.status_code 和 javax.servlet.error.message。 可回忆一下,在 web.xml 内以正确的次序声明 web-app 的子元素很重要。这里只要记住, error-page 出现在 web.xml 文件的末尾附近,servlet、servlet-name 和 welcome-file-list 之后即 可。 8.1 error-code 元素 为了更好地了解 error-code 元素的值,可考虑一下如果不正确地输入文件名,大多数站点会 作出什么反映。这样做一般会出现一个 404 错误信息,它表示不能找到该文件,但几乎没提 供更多有用的信息。另一方面,可以试一下在 www.microsoft.com、www.ibm.com 处或者特 别是在 www.bea.com 处输出未知的文件名。这是会得出有用的消息,这些消息提供可选择 的位置,以便查找感兴趣的页面。提供这样有用的错误页面对于 Web 应用来说是很有价值 得。事实上 rm-error-page 子元素)。由 form-login-page 给出的 HTML 表单必须具有一个 j_security_check 的 ACTION 属性、一个名为 j_username 的用户名文本字段以及一个名为 j_password 的口令字段。 例如,程序清单 5-19 指示服务器使用基于表单的验证。Web 应用的顶层目录中的一个名为 login.jsp 的页面将收集用户名和口令,并且失败的登陆将由相同目录中名为 login-error.jsp 的 页面报告。 程序清单 5-19 web.xml(说明 login-config 的摘录) ... FORM /login.jsp /login-error.jsp 9.2 限制对 Web 资源的访问 现在,可以指示服务器使用何种验证方法了。"了不起,"你说道,"除非我能指定一个来收 到保护的 URL,否则没有多大用处。"没错。指出这些 URL 并说明他们应该得到何种保护 正是 security-constriaint 元素的用途。此元素在 web.xml 中应该出现在 login-config 的紧前面。 它包含是个可能的子元素,分别是:web-resource-collection、 auth-constraint、user-data- constraint 和 display-name。下面各小节对它们进行介绍。 l web-resource-collection 此元素确定应该保护的资源。所有 security-constraint 元素都必须包含至少一个 web-resource- collection 项。此元素由一个给出任意标识名称的 web-resource-name 元素、一个确定应该保 护的 URL 的 url-pattern 元素、一个指出此保护所适用的 HTTP 命令(GET、POST 等,缺省 为所有方法)的 http-method 元素和一个提供资料的可选 description 元素组成。例如,下面的 Web-resource-collection 项(在 security-constratint 元素内)指出 Web 应用的 proprietary 目录 中所有文档应该受到保护。 Proprietary /propritary/* 重要的是应该注意到,url-pattern 仅适用于直接访问这些资源的客户机。特别是,它不适合 于通过 MVC 体系结构利用 RequestDispatcher 来访问的页面,或者不适合于利用类似 jsp:forward 的手段来访问的页面。这种不匀称如果利用得当的话很有好处。例如,servlet 可 利用 MVC 体系结构查找数据,把它放到 bean 中,发送请求到从 bean 中提取数据的 JSP 页 面并显示它。我们希望保证决不直接访问受保护的 JSP 页面,而只是通过建立该页面将使用 的 bean 的 servlet 来访问它。url-pattern 和 auth-contraint 元素可通过声明不允许任何用户直接 访问 JSP 页面来提供这种保证。但是,这种不匀称的行为可能让开发人员放松警惕,使他们 偶然对应受保护的资源提供不受限制的访问。 l auth-constraint 尽管 web-resource-collention 元素质出了哪些 URL 应该受到保护,但是 auth-constraint 元素却 指出哪些用户应该具有受保护资源的访问权。此元素应该包含一个或多个标识具有访问权限 的用户类别 role- name 元素,以及包含(可选)一个描述角色的 description 元素。例如,下 面 web.xml 中的 security-constraint 元素部门规定只有指定为 Administrator 或 Big Kahuna(或 两者)的用户具有指定资源的访问权。 ... administrator kahuna 重要的是认识到,到此为止,这个过程的可移植部分结束了。服务器怎样确定哪些用户处于 任何角色以及它怎样存放用户的口令,完全有赖于具体的系统。 例如,Tomcat 使用 install_dir/conf/tomcat-users.xml 将用户名与角色名和口令相关联,正如下 面例子中所示,它指出用户 joe(口令 bigshot)和 jane(口令 enaj)属于 administrator 和 kahuna 角色。 l user-data-constraint 这个可选的元素指出在访问相关资源时使用任何传输层保护。它必须包含一个 transport- guarantee 子元素(合法值为 NONE、 INTEGRAL 或 CONFIDENTIAL),并且可选地包含 一个 description 元素。transport-guarantee 为 NONE 值将对所用的通讯协议不加限制。 INTEGRAL 值表示数据必须以一种防止截取它的人阅读它的方式传送。虽然原理上(并且 在未来的 HTTP 版本中),在 INTEGRAL 和 CONFIDENTIAL 之间可能会有差别,但在当 前实践中,他们都只是简单地要求用 SSL。例如,下面指示服务器只允许对相关资源做 HTTPS 连接: CONFIDENTIAL l display-name security-constraint 的这个很少使用的子元素给予可能由 GUI 工具使用的安全约束项一个名称。 9.3 分配角色名 迄今为止,讨论已经集中到完全由容器(服务器)处理的安全问题之上了。但 servlet 以及 JSP 页面也能够处理它们自己的安全问题。 例如,容器可能允许用户从 bigwig 或 bigcheese 角色访问一个显示主管人员额外紧贴的页面, 但只允许 bigwig 用户修改此页面的参数。完成这种更细致的控制的一种常见方法是调用 HttpServletRequset 的 isUserInRole 方法,并据此修改访问。 Servlet 的 security-role-ref 子元素提供出现在服务器专用口令文件中的安全角色名的一个别 名。例如,假如编写了一个调用 request.isUserInRole("boss")的 servlet,但后来该 servlet 被用在了一个其口令文件调用角色 manager 而不是 boss 的服务器中。下面的程序段使该 servlet 能够使用这两个名称中的任何一个。 boss manager 也可以在 web-app 内利用 security-role 元素提供将出现在 role-name 元素中的所有安全角色的 一个全局列表。分别地生命角色使高级 IDE 容易处理安全信息。 10 控制会话超时 如果某个会话在一定的时间内未被访问,服务器可把它扔掉以节约内存。可利用 HttpSession 的 setMaxInactiveInterval 方法直接设置个别会话对象的超时值。如果不采用这种方法,则缺 省的超时值由具体的服务器决定。但可利用 session-config 和 session- timeout 元素来给出一个 适用于所有服务器的明确的超时值。超时值的单位为分钟,因此,下面的例子设置缺省会话 超时值为三个小时(180 分钟)。 180 11 Web 应用的文档化 越来越多的开发环境开始提供 servlet 和 JSP 的直接支持。例子有 Borland Jbuilder Enterprise Edition、Macromedia UltraDev、Allaire JRun Studio(写此文时,已被 Macromedia 收购)以 及 IBM VisuaAge for Java 等。 大量的 web.xml 元素不仅是为服务器设计的,而且还是为可视开发环境设计的。它们包括 icon、display-name 和 discription 等。 可回忆一下,在 web.xml 内以适当地次序声明 web-app 子元素很重要。不过,这里只要记住 icon、display-name 和 description 是 web.xml 的 web-app 元素内的前三个合法元素即可。 l icon icon 元素指出 GUI 工具可用来代表 Web 应用的一个和两个图像文件。可利用 small-icon 元素 指定一幅 16 x 16 的 GIF 或 JPEG 图像,用 large-icon 元素指定一幅 32 x 32 的图像。下面举一 个例子: /images/small-book.gif /images/tome.jpg l display-name display-name 元素提供 GUI 工具可能会用来标记此 Web 应用的一个名称。下面是个例子。 Rare Books l description description 元素提供解释性文本,如下所示: This Web application represents the store developed for rare-books.com, an online bookstore specializing in rare and limited-edition books. 12 关联文件与 MIME 类型 服务器一般都具有一种让 Web 站点管理员将文件扩展名与媒体相关联的方法。例如,将会 自动给予名为 mom.jpg 的文件一个 image/jpeg 的 MIME 类型。但是,假如你的 Web 应用具 有几个不寻常的文件,你希望保证它们在发送到客户机时分配为某种 MIME 类型。mime- mapping 元素(具有 extension 和 mime-type 子元素)可提供这种保证。例如,下面的代码指 示服务器将 application/x-fubar 的 MIME 类型分配给所有以.foo 结尾的文件。 foo application/x-fubar 或许,你的 Web 应用希望重载(override)标准的映射。例如,下面的代码将告诉服务器在 发送到客户机时指定.ps 文件作为纯文本(text/plain)而不是作为 PostScript(application/postscript)。 ps application/postscript 13 定位 TLD JSP taglib 元素具有一个必要的 uri 属性,它给出一个 TLD(Tag Library Descriptor)文件相对 于 Web 应用的根的位置。TLD 文件的实际名称在发布新的标签库版本时可能会改变,但我 们希望避免更改所有现有 JSP 页面。此外,可能还希望使用保持 taglib 元素的简练性的一个 简短的 uri。这就是部署描述符文件的 taglib 元素派用场的所在了。Taglib 包含两个子元素: taglib-uri 和 taglib-location。taglib-uri 元素应该与用于 JSP taglib 元素的 uri 属性的东西相匹配。 Taglib-location 元素给出 TLD 文件的实际位置。例如,假如你将文件 chart-tags- 1.3beta.tld 放 在 WebApp/WEB-INF/tlds 中。现在,假如 web.xml 在 web-app 元素内包含下列内容。 /charts.tld /WEB-INF/tlds/chart-tags-1.3beta.tld 给出这个说明后,JSP 页面可通过下面的简化形式使用标签库。 <%@ taglib uri="/charts.tld" prefix="somePrefix" %> 14 指定应用事件监听程序 应用事件监听器程序是建立或修改 servlet 环境或会话对象时通知的类。它们是 servlet 规范的 版本 2.3 中的新内容。这里只简单地说明用来向 Web 应用注册一个监听程序的 web.xml 的用 法。 注册一个监听程序涉及在 web.xml 的 web-app 元素内放置一个 listener 元素。在 listener 元素 内,listener-class 元素列出监听程序的完整的限定类名,如下所示: package.ListenerClass 虽然 listener 元素的结构很简单,但请不要忘记,必须正确地给出 web-app 元素内的子元素 的次序。listener 元素位于所有的 servlet 元素之前以及所有 filter-mapping 元素之后。此外, 因为应用生存期监听程序是 serlvet 规范的 2.3 版本中的新内容,所以必须使用 web.xml DTD 的 2.3 版本,而不是 2.2 版本。 例如,程序清单 5-20 给出一个名为 ContextReporter 的简单的监听程序,只要 Web 应用的 Servlet-Context 建立(如装载 Web 应用)或消除(如服务器关闭)时,它就在标准输出上显 示一条消息。程序清单 5-21 给出此监听程序注册所需要的 web.xml 文件的一部分。 程序清单 5-20 ContextReporterjava package moreservlets; import javax.servlet.*; import java.util.*; /** Simple listener that prints a report on the standard output * when the ServletContext is created or destroyed. *

* Taken from More Servlets and JavaServer Pages * from Prentice Hall and Sun Microsystems Press, * http://www.moreservlets.com/. * ? 2002 Marty Hall; may be freely used or adapted. */ public class ContextReporter implements ServletContextListener { public void contextInitialized(ServletContextEvent event) { System.out.println("Context created on " + new Date() + "."); } public void contextDestroyed(ServletContextEvent event) { System.out.println("Context destroyed on " + new Date() + "."); } } 程序清单 5-21 web.xml(声明一个监听程序的摘录) package.ListenerClass ... 15 J2EE 元素 本节描述用作 J2EE 环境组成部分的 Web 应用的 web.xml 元素。这里将提供一个简明的介绍, 详细内容可以参阅 http://java.sun.com/j2ee/j2ee-1_3-fr-spec.pdf 的 Java 2 Plantform Enterprise Edition 版本 1.3 规范的第 5 章。 l distributable distributable 元素指出,Web 应用是以这样的方式编程的:即,支持集群的服务器可安全地 在多个服务器上分布 Web 应用。例如,一个可分布的应用必须只使用 Serializable 对象作为 其 HttpSession 对象的属性,而且必须避免用实例变量(字段)来实现持续性。distributable 元素直接出现在 discription 元素之后,并且不包含子元素或数据,它只是一个如下的标志。 l resource-env-ref resource -env-ref 元素声明一个与某个资源有关的管理对象。此元素由一个可选的 description 元素、一个 resource-env-ref- name 元素(一个相对于 java:comp/env 环境的 JNDI 名)以及一 个 resource-env-type 元素(指定资源类型的完全限定的类),如下所示: jms/StockQueue javax.jms.Queue l env-entry env -entry 元素声明 Web 应用的环境项。它由一个可选的 description 元素、一个 env-entry- name 元素(一个相对于 java: comp/env 环境 JNDI 名)、一个 env-entry-value 元素(项值) 以及一个 env-entry-type 元素(java.lang 程序包中一个类型的完全限定类名, java.lang.Boolean、java.lang.String 等)组成。下面是一个例子: minAmout 100.00 minAmout l ejb-ref ejb -ref 元素声明对一个 EJB 的主目录的应用。它由一个可选的 description 元素、一个 ejb- ref-name 元素(相对于 java: comp/env 的 EJB 应用)、一个 ejb-ref-type 元素(bean 的类型, Entity 或 Session)、一个 home 元素(bean 的主目录接口的完全限定名)、一个 remote 元素 (bean 的远程接口的完全限定名)以及一个可选的 ejb-link 元素(当前 bean 链接的另一个 bean 的名称)组成。 l ejb-local-ref ejb-local-ref 元素声明一个 EJB 的本地主目录的引用。除了用 local-home 代替 home 外,此元 素具有与 ejb-ref 元素相同的属性并以相同的方式使用。

还剩20页未读

继续阅读

下载pdf到电脑,查找使用更方便

pdf的实际排版效果,会与网站的显示效果略有不同!!

需要 15 金币 [ 分享pdf获得金币 ] 1 人已下载

下载pdf

pdf贡献者

3gxiaoyu

贡献于2010-11-05

下载需要 15 金币 [金币充值 ]
亲,您也可以通过 分享原创pdf 来获得金币奖励!
下载pdf