1、定义头和根元素&&部署描述符文件就像所有XML文件一样，必须以一个XML头开始。这个头声明可以使用的XML版本并给出文
件的字符编码。DOCYTPE声明必须立即出现在此头之后。这个声明告诉服务器适用的servlet规范的版本（如2.2或2.3）并
指定管理此文件其余部分内容的语法的DTD(Document Type Definition，文档类型定义)。所有部署描述符文件的顶层（根）元素为web-app。请注意，XML元素不像HTML，他们是大小写敏感的。因
此，web-App和WEB-APP都是不合法的，web-app必须用小写。XML 元素不仅是大小写敏感的，而且它们还对出现在其他元素中的次序敏感。例如，XML头必须是文件中
的第一项，DOCTYPE声明必须是第二项，而web- app元素必须是第三项。在web-app元素内，元素的次序也
很重要。服务器不一定强制要求这种次序，但它们允许（实际上有些服务器就是这样做的）完全 拒绝执
行含有次序不正确的元素的Web应用。这表示使用非标准元素次序的web.xml文件是不可移植的。
Java代码&&
&?xml&version="1.0"&encoding="UTF-8"?&&&
&!DOCTYPE&web-app&PUBLIC&"-//Sun&Microsystems,&Inc.//DTD&Web&Application&2.3//EN"&"/dtd/web-app_2_3.dtd"&&&
&2、元素详解
&&& 下面的列表给出了所有可直接出现在web-app元素内的合法元素所必需的次序。例如，此列表说明servlet元素必须出现在所有servlet-mapping元素之前。请注意，所有这些元素都是可选的。因此，可以省略掉某一元素，但不能把它放于不正确的位置。
Java代码&&
icon&icon元素指出IDE和GUI工具用来表示Web应用的一个和两个图像文件的位置。&&
display-name&display-name元素提供GUI工具可能会用来标记这个特定的Web应用的一个名称。&&
description&description元素给出与此有关的说明性文本。&&
context-param&context-param元素声明应用范围内的初始化参数。&&
filter&过滤器元素将一个名字与一个实现javax.servlet.Filter接口的类相关联。&&
filter-mapping&一旦命名了一个过滤器，就要利用filter-mapping元素把它与一个或多个servlet或JSP页面相关联。&&
listener&servlet&API的版本2.3增加了对事件监听程序的支持，事件监听程序在建立、修改和删除会话或servlet环境时得到通知。Listener元素指出事件监听程序类。&&
servlet&在向servlet或JSP页面制定初始化参数或定制URL时，必须首先命名servlet或JSP页面。Servlet元素就是用来完成此项任务的。&&
servlet-mapping&服务器一般为servlet提供一个缺省的URL：&a&href="http://host/webAppPrefix/servlet/ServletName"&http://host/webAppPrefix/servlet/ServletName&/a&。但是，常常会更改这个URL，以便servlet可以访问初始化参数或更容易地处理相对URL。在更改缺省URL时，使用servlet-mapping元素。&&
session-config&如果某个会话在一定时间内未被访问，服务器可以抛弃它以节省内存。可通过使用HttpSession的setMaxInactiveInterval方法&明确设置单个会话对象的超时值，或者可利用session-config元素制定缺省超时值。&&
mime-mapping&如果Web应用具有想到特殊的文件，希望能保证给他们分配特定的MIME类型，则mime-mapping元素提供这种保证。&&
welcom-file-list&welcome-file-list元素指示服务器在收到引用一个目录名而不是文件名的URL时，使用哪个文件。&&
error-page&error-page元素使得在返回特定HTTP状态代码时，或者特定类型的异常被抛出时，能够制定将要显示的页面。&&
taglib&taglib元素对标记库描述符文件（Tag&Libraryu&Descriptor&file）指定别名。此功能使你能够更改TLD文件的位置，而不用编辑使用这些文件的JSP页面。&&
resource-env-ref&resource-env-ref元素声明与资源相关的一个管理对象。&&
resource-ref&resource-ref元素声明一个资源工厂使用的外部资源。&&
security-constraint&security-constraint元素制定应该保护的URL。它与login-config元素联合使用&&
login-config&用login-config元素来指定服务器应该怎样给试图访问受保护页面的用户授权。它与sercurity-constraint元素联合使用。&&
security-role&security-role元素给出安全角色的一个列表，这些角色将出现在servlet元素内的security-role-ref元素的role-name子元素中。分别地声明角色可使高级IDE处理安全信息更为容易。&&
env-entry&env-entry元素声明Web应用的环境项。&&
ejb-ref&ejb-ref元素声明一个EJB的主目录的引用。&&
l&ejb-local-ref&ejb-local-ref元素声明一个EJB的本地主目录的应用。&&
&3、sevlet配置
Java代码&&
&servlet&&&
&servlet-name&Test&/servlet-name&&&
&servlet-class&moreservlets.TestServlet&/servlet-class&&&
&/servlet&&&&
& &这&表示位于WEB-INF/classes/moreservlets/TestServlet的servlet已经得到了注册名Test。给&servlet一个名称具有两个主要的含义。首先，初始化参数、定制的URL模式以及其他定制通过此注册名而不是类名引用此servlet。其次,可在&URL而不是类名中使用此名称。因此，利用刚才给出的定义，URL&&可用于&&的场所。
Java代码&&
&servlet-mapping&&&
&servlet-name&Test&/servlet-name&&&
&url-pattern&/UrlTest&/url-pattern&&&
&/servlet-mapping&&&
&注意：元素出现地次序不是随意的。特别是，需要把所有servlet元素放在所有 servlet-mapping元素之前。
5&初始化和预装载servlet与JSP页面这里讨论控制servlet和JSP页面的启动行为的方法。特别是，说明了怎样分配初始化参数以及怎样更改服务器生存期中装载servlet和JSP页面的时刻。&&&& 利&用init-param元素向servlet提供初始化参数，init-param元素具有param-name和param-value子元素。例如，&在下面的例子中，如果initServlet&servlet是利用它的注册名（InitTest）访问的，它将能够从其方法中调用getServletConfig().&getInitParameter("param1")获得"Value&1"，调用getServletConfig().getInitParameter("param2")获得"2"。
Java代码&&
&servlet&&&
&servlet-name&InitTest&/servlet-name&&&
&servlet-class&moreservlets.InitServlet&/servlet-class&&&
&init-param&&&
&param-name&param1&/param-name&&&
&param-value&value1&/param-value&&&
&/init-param&&&
&init-param&&&
&param-name&param2&/param-name&&&
&param-value&2&/param-value&&&
&/init-param&&&
&/servlet&&&
&在涉及初始化参数时，有几点需要注意：&& l&&返回值。GetInitParameter的返回值总是一个String&& l&JSP中的初始化。JSP页面使用jspInit而不是init。JSP页面还需要使用jsp-file元素代替servlet-class。
&& l&缺省URL。初始化参数只在通过它们的注册名或与它们注册名相关的定制URL模式访问Servlet时可以使用。
Java代码&&
程序清单5-7&InitServlet.java&&
package&&&
import&java.io.*;&&
import&javax.servlet.*;&&
import&javax.servlet.http.*;&&
public&class&InitServlet&extends&HttpServlet&{&&
private&String&firstName,&emailA&&
public&void&init()&{&&
ServletConfig&config&=&getServletConfig();&&
firstName&=&config.getInitParameter("firstName");&&
emailAddress&=&config.getInitParameter("emailAddress");&&
public&void&doGet(HttpServletRequest&request,&&
HttpServletResponse&response)&&
throws&ServletException,&IOException&{&&
response.setContentType("text/html");&&
PrintWriter&out&=&response.getWriter();&&
String&uri&=&request.getRequestURI();&&
out.println(ServletUtilities.headWithTitle("Init&Servlet")&+&&
"&BODY&BGCOLOR=\"#FDF5E6\"&\n"&+&&
"&H2&Init&Parameters:&/H2&\n"&+&&
"&UL&\n"&+&&
"&LI&First&name:&"&+&firstName&+&"\n"&+&&
"&LI&Email&address:&"&+&emailAddress&+&"\n"&+&&
"&/UL&\n"&+&&&
"&/BODY&&/HTML&");&&
&5.2&分配JSP初始化参数给JSP页面提供初始化参数在三个方面不同于给servlet提供初始化参数。1）使用jsp-file而不是servlet-class。因此，WEB-INF/web.xml文件的servlet元素如下所示：
Java代码&&
&servlet&&&
&servlet-name&PageName&/servlet-name&&&
&jsp-file&/RealPage.jsp&/jsp-file&&&
&init-param&&&
&param-name&...&/param-name&&&
&param-value&...&/param-value&&&
&/init-param&&&
&/servlet&&&
&2)&几乎总是分配一个明确的URL模式。对servlet，一般相应地使用以http://host/webAppPrefix/servlet/&开始的缺省URL。只需记住，使用注册名而不是原名称即可。这对于JSP页面在技术上也是合法的。例如，在上面给出的例子中，可用URL&http://host/webAppPrefix/servlet/PageName&访问RealPage.jsp的对初始化参数具有访问权的版本。但在用于JSP页面时，许多用户似乎不喜欢应用常规的servlet的URL。此外，如果&JSP页面位于服务器为其提供了目录清单的目录中（如，一个既没有index.html也没有index.jsp文件的目录），则用户可能会连接到此&JSP页面，单击它，从而意外地激活未初始化的页面。因此，好的办法是使用url-pattern（5.3节）将JSP页面的原URL与注册的&servlet名相关联。这样，客户机可使用JSP页面的普通名称，但仍然激活定制的版本。例如，给定来自项目1的servlet定义，可使用下面的&servlet-mapping定义：
Java代码&&
&servlet-mapping&&&
&servlet-name&PageName&/servlet-name&&&
&url-pattern&/RealPage.jsp&/url-pattern&&&
&/servlet-mapping&&&
3）JSP页使用jspInit而不是init。自动从JSP页面建立的servlet或许已经使用了inti方法。因此，使用JSP声明提供一个init方法是不合法的，必须制定jspInit方法。为了说明初始化JSP页面的过程，程序清单5-9给出了一个名为InitPage.jsp的JSP页面，它包含一个jspInit方法且放置于&deployDemo&Web应用层次结构的顶层。一般，http://host/deployDemo/InitPage.jsp&形式的URL将激活此页面的不具有初始化参数访问权的版本，从而将对firstName和emailAddress变量显示null。但是，&web.xml文件（程序清单5-10）分配了一个注册名，然后将该注册名与URL模式/InitPage.jsp相关联。
Java代码&&
程序清单5-9&InitPage.jsp&&
&!DOCTYPE&HTML&PUBLIC&"-//W3C//DTD&HTML&4.0&Transitional//EN"&&&
&HEAD&&TITLE&JSP&Init&Test&/TITLE&&/HEAD&&&
&BODY&BGCOLOR="#FDF5E6"&&&
&H2&Init&Parameters:&/H2&&&
&LI&First&name:&&%=&firstName&%&&&
&LI&Email&address:&&%=&emailAddress&%&&&
&/BODY&&/HTML&&&
private&String&firstName,&emailA&&
public&void&jspInit()&{&&
ServletConfig&config&=&getServletConfig();&&
firstName&=&config.getInitParameter("firstName");&&
emailAddress&=&config.getInitParameter("emailAddress");&&
Java代码&&
程序清单5-10&web.xml（说明JSP页面的init参数的摘录）&&
&?xml&version="1.0"&encoding="ISO-8859-1"?&&&
&!DOCTYPE&web-app&&
PUBLIC&"-//Sun&Microsystems,&Inc.//DTD&Web&Application&2.3//EN"&&
"/dtd/web-app_2_3.dtd"&&&
&web-app&&&
&!--&...&--&&&
&servlet&&&
&servlet-name&InitPage&/servlet-name&&&
&jsp-file&/InitPage.jsp&/jsp-file&&&
&init-param&&&
&param-name&firstName&/param-name&&&
&param-value&Bill&/param-value&&&
&/init-param&&&
&init-param&&&
&param-name&emailAddress&/param-name&&&
&param-value&gates@oracle.com&/param-value&&&
&/init-param&&&
&/servlet&&&
&!--&...&--&&&&
&servlet-mapping&&&
&servlet-name&&InitPage&/servlet-name&&&
&url-pattern&/InitPage.jsp&/url-pattern&&&
&/servlet-mapping&&&
&!--&...&--&&&
&/web-app&&&
&5.3&提供应用范围内的初始化参数一&般，对单个地servlet或JSP页面分配初始化参数。指定的servlet或JSP页面利用ServletConfig的&getInitParameter方法读取这些参数。但是，在某些情形下，希望提供可由任意servlet或JSP页面借助ServletContext&的getInitParameter方法读取的系统范围内的初始化参数。可利用context-param元素声明这些系统范围内的初始化值。context-param元素应该包含param-name、param-value以及可选的description子元素，如下所示：
Java代码&&
&context-param&&&
&param-name&support-email&/param-name&&&
&param-value&blackhole@mycompany.com&/param-value&&&
&/context-param&&&
&web.xml内的元素必须以正确的次序声明。但这里应该注意，context-param元素必须出现任意与文档有关的元&素（icon、display-name或description）之后及filter、filter-mapping、listener或&servlet元素之前。5.4&在服务器启动时装载servlet假如servlet或JSP页面有一个要花很长时间执行的init&（servlet）或jspInit（JSP）方法。例如，假如init或jspInit方法从某个数据库或ResourceBundle查找产量。这种&情况下，在第一个客户机请求时装载servlet的缺省行为将对第一个客户机产生较长时间的延迟。因此，可利用servlet的load-on-&startup元素规定服务器在第一次启动时装载servlet。下面是一个例子。
Java代码&&
&servlet&&&
&servlet-name&&&&&/servlet-name&&&
&servlet-class&&&&&/servlet-class&&&!--&Or&jsp-file&--&&&
&load-on-startup/&&&
&/servlet&&&
&可&以为此元素体提供一个整数而不是使用一个空的load-on-startup。想法是服务器应该在装载较大数目的servlet或JSP页面之前装载较少&数目的servlet或JSP页面。例如，下面的servlet项（放置在Web应用的WEB-INF目录下的web.xml文件中的web-app元素&内）将指示服务器首先装载和初始化SearchServlet，然后装载和初始化由位于Web应用的result目录中的index.jsp文件产生的&servlet。
Java代码&&
&servlet&&&
&servlet-name&Search&/servlet-name&&&
&servlet-class&myPackage.SearchServlet&/servlet-class&&&!--&Or&jsp-file&--&&&
&load-on-startup&1&/load-on-startup&&&
&/servlet&&&
&servlet&&&
&servlet-name&Results&/servlet-name&&&
&servlet-class&/results/index.jsp&/servlet-class&&&!--&Or&jsp-file&--&&&
&load-on-startup&2&/load-on-startup&&&
&/servlet&&&
&6&声明过滤器
servlet版本2.3引入了过滤器的概念。虽然所有支持servlet&API版本2.3的服务器都支持过滤器，但为了使用与过滤器有关的元素，必须在web.xml中使用版本2.3的DTD。过&滤器可截取和修改进入一个servlet或JSP页面的请求或从一个servlet或JSP页面发出的相应。在执行一个servlet或JSP页面之前，&必须执行第一个相关的过滤器的doFilter方法。在该过滤器对其FilterChain对象调用doFilter时，执行链中的下一个过滤器。如果没&有其他过滤器，servlet或JSP页面被执行。过滤器具有对到来的ServletRequest对象的全部访问权，因此，它们可以查看客户机名、查找&到来的cookie等。为了访问servlet或JSP页面的输出，过滤器可将响应对象包裹在一个替身对象（stand-in&object）中，比方说把输出累加到一个缓冲区。在调用FilterChain对象的doFilter方法之后，过滤器可检查缓冲区，如有必要，就对它&进行修改，然后传送到客户机。例如，程序清单5-11帝国难以了一个简单的过滤器，只要访问相关的servlet或JSP页面，它就截取请求并在标准输出上打印一个报告（开发过程中在桌面系统上运行时，大多数服务器都可以使用这个过滤器）。
Java代码&&
程序清单5-11&ReportFilter.java&&
package&&&
import&java.io.*;&&
import&javax.servlet.*;&&
import&javax.servlet.http.*;&&
import&java.util.*;&&
public&class&ReportFilter&implements&Filter&{&&
public&void&doFilter(ServletRequest&request,&&
ServletResponse&response,&&
FilterChain&chain)&&
throws&ServletException,&IOException&{&&
HttpServletRequest&req&=&(HttpServletRequest)&&
System.out.println(req.getRemoteHost()&+&&
"&tried&to&access&"&+&&
req.getRequestURL()&+&&
"&on&"&+&new&Date()&+&".");&&
chain.doFilter(request,response);&&
public&void&init(FilterConfig&config)&&
throws&ServletException&{&&
public&void&destroy()&{}&&
&一&旦建立了一个过滤器，可以在web.xml中利用filter元素以及filter-name（任意名称）、file-class（完全限定的类名）和&（可选的）init-params子元素声明它。请注意，元素在web.xml的web-app元素中出现的次序不是任意的；允许服务器（但不是必需的）&强制所需的次序，并且实际中有些服务器也是这样做的。但这里要注意，所有filter元素必须出现在任意filter-mapping元素之前，&filter-mapping元素又必须出现在所有servlet或servlet-mapping元素之前。例如，给定上述的ReportFilter类，可在web.xml中作出下面的filter声明。它把名称Reporter与实际的类ReportFilter（位于moreservlets程序包中）相关联。&filter&&filter-name&Reporter&/filter-name&&filter-class&moresevlets.ReportFilter&/filter-class&&/filter&一旦命名了一个过滤器，可利用filter-mapping元素把它与一个或多个servlet或JSP页面相关联。关于此项工作有两种选择。首&先，可使用filter-name和servlet-name子元素把此过滤器与一个特定的servlet名（此servlet名必须稍后在相同的&web.xml文件中使用servlet元素声明）关联。例如，下面的程序片断指示系统只要利用一个定制的URL访问名为SomeServletName&的servlet或JSP页面，就运行名为Reporter的过滤器。
Java代码&&
&filter-mapping&&&
&filter-name&Reporter&/filter-name&&&
&servlet-name&SomeServletName&/servlet-name&&&
&/filter-mapping&&&
&其次，可利用filter-name和url-pattern子元素将过滤器与一组servlet、JSP页面或静态内容相关联。例如，相面的程序片段指示系统只要访问Web应用中的任意URL，就运行名为Reporter的过滤器。
Java代码&&
&filter-mapping&&&
&filter-name&Reporter&/filter-name&&&
&url-pattern&/*&/url-pattern&&&
&/filter-mapping&&&
&例&如，程序清单5-12给出了将ReportFilter过滤器与名为PageName的servlet相关联的web.xml文件的一部分。名字&PageName依次又与一个名为TestPage.jsp的JSP页面以及以模式http:&//host/webAppPrefix/UrlTest2/&开头的URL相关联。TestPage.jsp的源代码已经JSP页面命名的谈论在前面的3节"分配名称和定制的URL"中给出。事实上，程序清单5-&12中的servlet和servlet-name项从该节原封不动地拿过来的。给定这些web.xml项，可看到下面的标准输出形式的调试报告（换行是&为了容易阅读）。audit.irs.gov&tried&to&access&/deployDemo/UrlTest2/business/tax-plan.htmlon&Tue&Dec&25&13:12:29&EDT&2001.程序清单5-12&Web.xml（说明filter用法的摘录）&?xml&version="1.0"&encoding="ISO-8859-1"?&&!DOCTYPE&web-appPUBLIC&"-//Sun&Microsystems,&Inc.//DTD&Web&Application&2.3//EN""/dtd/web-app_2_3.dtd"&&web-app&&filter&&filter-name&Reporter&/filter-name&&filter-class&moresevlets.ReportFilter&/filter-class&&/filter&&!--&...&--&&filter-mapping&&filter-name&Reporter&/filter-name&&servlet-name&PageName&/servlet-name&&/filter-mapping&&!--&...&--&&servlet&&servlet-name&PageName&/servlet-name&&jsp-file&/RealPage.jsp&/jsp-file&&/servlet&&!--&...&--&&servlet-mapping&&servlet-name&&PageName&&/servlet-name&&url-pattern&/UrlTest2/*&/url-pattern&&/servlet-mapping&&!--&...&--&&/web-app&7&指定欢迎页假&如用户提供了一个像http:&//host/webAppPrefix/directoryName/&这样的包含一个目录名但没有包含文件名的URL，会发生什么事情呢？用户能得到一个目录表？一个错误？还是标准文件的内容？如果得到标准文件内容，是&index.html、index.jsp、default.html、default.htm或别的什么东西呢？Welcome-file-list&元素及其辅助的welcome-file元素解决了这个模糊的问题。例如，下面的web.xml项指出，如果一个URL给出一个目录名但未给出文件名，服&务器应该首先试用index.jsp，然后再试用index.html。如果两者都没有找到，则结果有赖于所用的服务器（如一个目录列表）。&welcome-file-list&&welcome-file&index.jsp&/welcome-file&&welcome-file&index.html&/welcome-file&&/welcome-file-list&虽然许多服务器缺省遵循这种行为，但不一定必须这样。因此，明确地使用welcom-file-list保证可移植性是一种良好的习惯。8&指定处理错误的页面现&在我了解到，你在开发servlet和JSP页面时从不会犯错误，而且你的所有页面是那样的清晰，一般的程序员都不会被它们的搞糊涂。但是，是人总会犯错&误的，用户可能会提供不合规定的参数，使用不正确的URL或者不能提供必需的表单字段值。除此之外，其它开发人员可能不那么细心，他们应该有些工具来克服&自己的不足。error-page元素就是用来克服这些问题的。它有两个可能的子元素，分别是：error-code和exception-&type。第一个子元素error-code指出在给定的HTTP错误代码出现时使用的URL。第二个子元素excpetion-type指出在出现某个&给定的Java异常但未捕捉到时使用的URL。error-code和exception-type都利用location元素指出相应的URL。此&URL必须以/开始。location所指出的位置处的页面可通过查找HttpServletRequest对象的两个专门的属性来访问关于错误的信息，&这两个属性分别是：javax.servlet.error.status_code和javax.servlet.error.message。可回忆一下，在web.xml内以正确的次序声明web-app的子元素很重要。这里只要记住，error-page出现在web.xml文件的末尾附近，servlet、servlet-name和welcome-file-list之后即可。8.1&error-code元素为了更好地了解error-code元素的值，可考虑一下如果不正确地输入文件名，大多数站点会作出什么反映。这样做一般会出现一个404错误信息，它表示不能找到该文件，但几乎没提供更多有用的信息。另一方面，可以试一下在、&处或者特别是在&处输出未知的文件名。这是会得出有用的消息，这些消息提供可选择的位置，以便查找感兴趣的页面。提供这样有用的错误页面对于Web应用来说是很有价值得。&事实上rm-error-page子元素）。由form-login-page给出的HTML表单必须具有一个j_security_check的&ACTION属性、一个名为j_username的用户名文本字段以及一个名为j_password的口令字段。例如，程序清单5-19指示服务器使用基于表单的验证。Web应用的顶层目录中的一个名为login.jsp的页面将收集用户名和口令，并且失败的登陆将由相同目录中名为login-error.jsp的页面报告。程序清单5-19&web.xml（说明login-config的摘录）&?xml&version="1.0"&encoding="ISO-8859-1"?&&!DOCTYPE&web-appPUBLIC&"-//Sun&Microsystems,&Inc.//DTD&Web&Application&2.3//EN""/dtd/web-app_2_3.dtd"&&web-app&&!--&...&--&&security-constraint&&...&&/security-constraint&&login-config&&auth-method&&FORM&&/auth-method&&form-login-config&&form-login-page&/login.jsp&/form-login-page&&form-error-page&/login-error.jsp&/form-error-page&&/form-login-config&&/login-config&&!--&...&--&&/web-app&9.2&限制对Web资源的访问现&在，可以指示服务器使用何种验证方法了。"了不起，"你说道，"除非我能指定一个来收到保护的&URL，否则没有多大用处。"没错。指出这些URL并说明他们应该得到何种保护正是security-constriaint元素的用途。此元素在&web.xml中应该出现在login-config的紧前面。它包含是个可能的子元素，分别是：web-resource-collection、&auth-constraint、user-data-constraint和display-name。下面各小节对它们进行介绍。l&web-resource-collection此&元素确定应该保护的资源。所有security-constraint元素都必须包含至少一个web-resource-collection项。此元素&由一个给出任意标识名称的web-resource-name元素、一个确定应该保护的URL的url-pattern元素、一个指出此保护所适用的&HTTP命令（GET、POST等，缺省为所有方法）的http-method元素和一个提供资料的可选description元素组成。例如，下面的&Web-resource-collection项（在security-constratint元素内）指出Web应用的proprietary目录中&所有文档应该受到保护。&security-constraint&&web-resource-coolection&&web-resource-name&Proprietary&/web-resource-name&&url-pattern&/propritary/*&/url-pattern&&/web-resource-coolection&&!--&...&--&&/security-constraint&重&要的是应该注意到，url-pattern仅适用于直接访问这些资源的客户机。特别是，它不适合于通过MVC体系结构利用&RequestDispatcher来访问的页面，或者不适合于利用类似jsp:forward的手段来访问的页面。这种不匀称如果利用得当的话很有好&处。例如，servlet可利用MVC体系结构查找数据，把它放到bean中，发送请求到从bean中提取数据的JSP页面并显示它。我们希望保证决不直&接访问受保护的JSP页面，而只是通过建立该页面将使用的bean的servlet来访问它。url-pattern和auth-contraint元素&可通过声明不允许任何用户直接访问JSP页面来提供这种保证。但是，这种不匀称的行为可能让开发人员放松警惕，使他们偶然对应受保护的资源提供不受限制的&访问。&l&auth-constraint尽管web-resource-collention元素质出了哪些URL应该受到保护，&但是auth-constraint元素却指出哪些用户应该具有受保护资源的访问权。此元素应该包含一个或多个标识具有访问权限的用户类别role-&name元素，以及包含（可选）一个描述角色的description元素。例如，下面web.xml中的security-constraint元素部&门规定只有指定为Administrator或Big&Kahuna（或两者）的用户具有指定资源的访问权。&security-constraint&&web-resource-coolection&&...&&/web-resource-coolection&&auth-constraint&&role-name&administrator&/role-name&&role-name&kahuna&/role-name&&/auth-constraint&&/security-constraint&重要的是认识到，到此为止，这个过程的可移植部分结束了。服务器怎样确定哪些用户处于任何角色以及它怎样存放用户的口令，完全有赖于具体的系统。例如，Tomcat使用install_dir/conf/tomcat-users.xml将用户名与角色名和口令相关联，正如下面例子中所示，它指出用户joe（口令bigshot）和jane（口令enaj）属于administrator和kahuna角色。&tomcat-users&&user&name="joe"&password="bigshot"&roles="administrator,kahuna"&/&&user&name="jane"&password="enaj"&roles="kahuna"&/&&/tomcat-users&l&user-data-constraint这&个可选的元素指出在访问相关资源时使用任何传输层保护。它必须包含一个transport-guarantee子元素（合法值为NONE、&INTEGRAL或CONFIDENTIAL），并且可选地包含一个description元素。transport-guarantee为NONE值将&对所用的通讯协议不加限制。INTEGRAL值表示数据必须以一种防止截取它的人阅读它的方式传送。虽然原理上（并且在未来的HTTP版本中），在&INTEGRAL和CONFIDENTIAL之间可能会有差别，但在当前实践中，他们都只是简单地要求用SSL。例如，下面指示服务器只允许对相关资源做&HTTPS连接：&security-constraint&&!--&...&--&&user-data-constraint&&transport-guarantee&CONFIDENTIAL&/transport-guarantee&&/user-data-constraint&&/security-constraint&l&display-namesecurity-constraint的这个很少使用的子元素给予可能由GUI工具使用的安全约束项一个名称。9.3&分配角色名迄今为止，讨论已经集中到完全由容器（服务器）处理的安全问题之上了。但servlet以及JSP页面也能够处理它们自己的安全问题。例&如，容器可能允许用户从bigwig或bigcheese角色访问一个显示主管人员额外紧贴的页面，但只允许bigwig用户修改此页面的参数。完成这种&更细致的控制的一种常见方法是调用HttpServletRequset的isUserInRole方法，并据此修改访问。Servlet的&security-role-ref子元素提供出现在服务器专用口令文件中的安全角色名的一个别名。例如，假如编写了一个调用&request.isUserInRole（"boss"）的servlet，但后来该servlet被用在了一个其口令文件调用角色manager而不&是boss的服务器中。下面的程序段使该servlet能够使用这两个名称中的任何一个。&servlet&&!--&...&--&&security-role-ref&&role-name&boss&/role-name&&&!--&New&alias&--&&role-link&manager&/role-link&&&!--&Real&name&--&&/security-role-ref&&/servlet&也可以在web-app内利用security-role元素提供将出现在role-name元素中的所有安全角色的一个全局列表。分别地生命角色使高级IDE容易处理安全信息。10&控制会话超时如&果某个会话在一定的时间内未被访问，服务器可把它扔掉以节约内存。可利用HttpSession的setMaxInactiveInterval方法直接&设置个别会话对象的超时值。如果不采用这种方法，则缺省的超时值由具体的服务器决定。但可利用session-config和session-&timeout元素来给出一个适用于所有服务器的明确的超时值。超时值的单位为分钟，因此，下面的例子设置缺省会话超时值为三个小时（180分钟）。&session-config&&session-timeout&180&/session-timeout&&/session-config&11&Web应用的文档化越&来越多的开发环境开始提供servlet和JSP的直接支持。例子有Borland&Jbuilder&Enterprise&Edition、Macromedia&UltraDev、Allaire&JRun&Studio（写此文时，已被Macromedia收购）以及IBM&VisuaAge&for&Java等。大量的web.xml元素不仅是为服务器设计的，而且还是为可视开发环境设计的。它们包括icon、display-name和discription等。可回忆一下，在web.xml内以适当地次序声明web-app子元素很重要。不过，这里只要记住icon、display-name和description是web.xml的web-app元素内的前三个合法元素即可。l&iconicon元素指出GUI工具可用来代表Web应用的一个和两个图像文件。可利用small-icon元素指定一幅16&x&16的GIF或JPEG图像，用large-icon元素指定一幅32&x&32的图像。下面举一个例子：&&icon&&small-icon&/images/small-book.gif&/small-icon&&large-icon&/images/tome.jpg&/large-icon&&/icon&l&display-namedisplay-name元素提供GUI工具可能会用来标记此Web应用的一个名称。下面是个例子。&display-name&Rare&Books&/display-name&l&descriptiondescription元素提供解释性文本，如下所示：&description&This&Web&application&represents&the&store&developed&for,&an&online&bookstore&specializing&in&rareand&limited-edition&books.&/description&
12 配置下载文件
application/msword&&&
application/msexcel&&&
application/pdf&&&
application/zip&&&
application/rar&&&
application/txt&&&
application/mshelp&&
&audio/x-mpeg&&
普通文本&.txt&text/plain&&&
RTF文本&.rtf&application/rtf&&&
GIF图形&.gif&image/gif&&&
JPEG图形&.ipeg,.jpg&image/jpeg&&&
au声音文件&.au&audio/basic&&&
MIDI音乐文件&mid,.midi&audio/midi,audio/x-midi&&&
RealAudio音乐文件&.ra,&.ram&audio/x-pn-realaudio&&&
MPEG文件&.mpg,.mpeg&video/mpeg&&&
AVI文件&.avi&video/x-msvideo&&&
GZIP文件&.gz&application/x-gzip&&&
TAR文件&.tar&application/x-tar &&
阅读(...) 评论()