2.2 定義定制的URL

大多數(shù)服務(wù)器具有一個缺省的serlvet URL：
http://host/webAppPrefix/servlet/packageName.ServletName。 雖然在開發(fā)中使用這個URL很方便，但是我們常常會希望另一個URL用于部署。例如，可能會需要一個出現(xiàn)在Web應(yīng)用頂層的URL（如，http: //host/webAppPrefix/Anyname），并且在此URL中沒有servlet項。位于頂層的URL簡化了相對URL的使用。此外，對 許多開發(fā)人員來說，頂層URL看上去比更長更麻煩的缺省URL更簡短。
事實上，有時需要使用定制的URL。比如，你可能想關(guān)閉缺省URL映射，以便更好地強(qiáng)制實施安全限制或防止用戶意外地訪問無初始化參數(shù)的servlet。如果你禁止了缺省的URL，那么你怎樣訪問servlet呢？這時只有使用定制的URL了。
為 了分配一個定制的URL，可使用servlet-mapping元素及其servlet-name和url-pattern子元素。Servlet- name元素提供了一個任意名稱，可利用此名稱引用相應(yīng)的servlet；url-pattern描述了相對于Web應(yīng)用的根目錄的URL。url- pattern元素的值必須以斜杠（/）起始。
下面給出一個簡單的web.xml摘錄，它允許使用URL http://host/webAppPrefix/UrlTest而不是http://host/webAppPrefix/servlet/Test或
http: //host/webAppPrefix/servlet/moreservlets.TestServlet。請注意，仍然需要XML頭、 DOCTYPE聲明以及web-app封閉元素。此外，可回憶一下，XML元素出現(xiàn)地次序不是隨意的。特別是，需要把所有servlet元素放在所有 servlet-mapping元素之前。

Test
moreservlets.TestServlet



Test
/UrlTest

URL模式還可以包含通配符。例如，下面的小程序指示服務(wù)器發(fā)送所有以Web應(yīng)用的URL前綴開始，以..asp結(jié)束的請求到名為BashMS的servlet。

BashMS
msUtils.ASPTranslator



BashMS
/*.asp

2.3 命名JSP頁面

因 為JSP頁面要轉(zhuǎn)換成sevlet，自然希望就像命名servlet一樣命名JSP頁面。畢竟，JSP頁面可能會從初始化參數(shù)、安全設(shè)置或定制的URL中 受益，正如普通的serlvet那樣。雖然JSP頁面的后臺實際上是servlet這句話是正確的，但存在一個關(guān)鍵的猜疑：即，你不知道JSP頁面的實際 類名（因為系統(tǒng)自己挑選這個名字）。因此，為了命名JSP頁面，可將jsp-file元素替換為servlet-calss元素，如下所示：

Test
/TestPage.jsp

命 名JSP頁面的原因與命名servlet的原因完全相同：即為了提供一個與定制設(shè)置（如，初始化參數(shù)和安全設(shè)置）一起使用的名稱，并且，以便能更改激活 JSP頁面的URL（比方說，以便多個URL通過相同頁面得以處理，或者從URL中去掉.jsp擴(kuò)展名）。但是，在設(shè)置初始化參數(shù)時，應(yīng)該注意，JSP頁 面是利用jspInit方法，而不是init方法讀取初始化參數(shù)的。
例如，程序清單5-3給出一個名為TestPage.jsp的簡單JSP頁面，它的工作只是打印出用來激活它的URL的本地部分。TestPage.jsp放置在deployDemo應(yīng)用的頂層。程序清單5-4給出了用來分配一個注冊名PageName，然后將此注冊名與http://host/webAppPrefix/UrlTest2/anything 形式的URL相關(guān)聯(lián)的web.xml文件（即，deployDemo/WEB-INF/web.xml）的一部分。

程序清單5-3 TestPage.jsp

URI: 

4 重新映射/servlet/URL模式

在一個特定的Web應(yīng)用中禁止以http://host/webAppPrefix/servlet/ 開始的URL的處理非常簡單。所需做的事情就是建立一個錯誤消息servlet，并使用前一節(jié)討論的url-pattern元素將所有匹配請求轉(zhuǎn)向該 servlet。只要簡單地使用：
/servlet/*
作為servlet-mapping元素中的模式即可。
例如，程序清單5-5給出了將SorryServlet servlet（程序清單5-6）與所有以http://host/webAppPrefix/servlet/ 開頭的URL相關(guān)聯(lián)的部署描述符文件的一部分。

程序清單5-5 web.xml（說明JSP頁命名的摘錄）

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">




Sorry
moreservlets.SorryServlet



 Sorry 
/servlet/*





程序清單5-6 SorryServlet.java
package moreservlets;

import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;

/** Simple servlet used to give error messages to
* users who try to access default servlet URLs
* (i.e., http://host/webAppPrefix/servlet/ServletName)
* in Web applications that have disabled this
* behavior.
* 

* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/

public class SorryServlet extends HttpServlet {
public void doGet(HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html");
PrintWriter out = response.getWriter();
String title = "Invoker Servlet Disabled.";
out.println(ServletUtilities.headWithTitle(title) +
"\n" +
"

" + title + "

Tomcat 4中用來關(guān)閉缺省URL的方法與Tomcat 3中所用的很不相同。下面介紹這兩種方法：

1．禁止激活器： Tomcat 4

Tomcat 4用與前面相同的方法關(guān)閉激活器servlet，即利用web.xml中的url-mapping元素進(jìn)行關(guān)閉。不同之處在于Tomcat使用了放在 install_dir/conf中的一個服務(wù)器專用的全局web.xml文件，而前面使用的是存放在每個Web應(yīng)用的WEB-INF目錄中的標(biāo)準(zhǔn) web.xml文件。
因此，為了在Tomcat 4中關(guān)閉激活器servlet，只需在install_dir/conf/web.xml中簡單地注釋出/servlet/* URL映射項即可，如下所示：

再次提醒，應(yīng)該注意這個項是位于存放在install_dir/conf的Tomcat專用的web.xml文件中的，此文件不是存放在每個Web應(yīng)用的WEB-INF目錄中的標(biāo)準(zhǔn)web.xml。

2．禁止激活器：Tomcat3

在Apache Tomcat的版本3中，通過在install_dir/conf/server.xml中注釋出InvokerInterceptor項全局禁止缺省 servlet URL。例如，下面是禁止使用缺省servlet URL的server.xml文件的一部分。


5 初始化和預(yù)裝載servlet與JSP頁面

這里討論控制servlet和JSP頁面的啟動行為的方法。特別是，說明了怎樣分配初始化參數(shù)以及怎樣更改服務(wù)器生存期中裝載servlet和JSP頁面的時刻。

5.1 分配servlet初始化參數(shù)

利 用init-param元素向servlet提供初始化參數(shù)，init-param元素具有param-name和param-value子元素。例如， 在下面的例子中，如果initServlet servlet是利用它的注冊名（InitTest）訪問的，它將能夠從其方法中調(diào)用getServletConfig(). getInitParameter("param1")獲得"Value 1"，調(diào)用getServletConfig().getInitParameter("param2")獲得"2"。

InitTest
moreservlets.InitServlet

* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/

public class InitServlet extends HttpServlet {
private String firstName, emailAddress;

public void init() {
ServletConfig config = getServletConfig();
firstName = config.getInitParameter("firstName");
emailAddress = config.getInitParameter("emailAddress");
}

public void doGet(HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html");
PrintWriter out = response.getWriter();
String uri = request.getRequestURI();
out.println(ServletUtilities.headWithTitle("Init Servlet") +
"\n" +
"

Init Parameters:

\n" +
"
• First name: " + firstName + "\n" +
  "
• Email address: " + emailAddress + "\n" +
  "

給JSP頁面提供初始化參數(shù)在三個方面不同于給servlet提供初始化參數(shù)。

1）使用jsp-file而不是servlet-class。因此，WEB-INF/web.xml文件的servlet元素如下所示：

PageName
/RealPage.jsp

2) 幾乎總是分配一個明確的URL模式。對servlet，一般相應(yīng)地使用以

http://host/webAppPrefix/servlet/ 開始的缺省URL。只需記住，使用注冊名而不是原名稱即可。這對于JSP頁面在技術(shù)上也是合法的。例如，在上面給出的例子中，可用URL http://host/webAppPrefix/servlet/PageName 訪問RealPage.jsp的對初始化參數(shù)具有訪問權(quán)的版本。但在用于JSP頁面時，許多用戶似乎不喜歡應(yīng)用常規(guī)的servlet的URL。此外，如果 JSP頁面位于服務(wù)器為其提供了目錄清單的目錄中（如，一個既沒有index.html也沒有index.jsp文件的目錄），則用戶可能會連接到此 JSP頁面，單擊它，從而意外地激活未初始化的頁面。因此，好的辦法是使用url-pattern（5.3節(jié)）將JSP頁面的原URL與注冊的 servlet名相關(guān)聯(lián)。這樣，客戶機(jī)可使用JSP頁面的普通名稱，但仍然激活定制的版本。例如，給定來自項目1的servlet定義，可使用下面的 servlet-mapping定義：

PageName
/RealPage.jsp

3）JSP頁使用jspInit而不是init。自動從JSP頁面建立的servlet或許已經(jīng)使用了inti方法。因此，使用JSP聲明提供一個init方法是不合法的，必須制定jspInit方法。

為了說明初始化JSP頁面的過程，程序清單5-9給出了一個名為InitPage.jsp的JSP頁面，它包含一個jspInit方法且放置于 deployDemo Web應(yīng)用層次結(jié)構(gòu)的頂層。一般，http://host/deployDemo/InitPage.jsp 形式的URL將激活此頁面的不具有初始化參數(shù)訪問權(quán)的版本，從而將對firstName和emailAddress變量顯示null。但是， web.xml文件（程序清單5-10）分配了一個注冊名，然后將該注冊名與URL模式/InitPage.jsp相關(guān)聯(lián)。

程序清單5-9 InitPage.jsp

Init Parameters:

• First name: 
  
• Email address: 
  

一 般，對單個地servlet或JSP頁面分配初始化參數(shù)。指定的servlet或JSP頁面利用ServletConfig的 getInitParameter方法讀取這些參數(shù)。但是，在某些情形下，希望提供可由任意servlet或JSP頁面借助ServletContext 的getInitParameter方法讀取的系統(tǒng)范圍內(nèi)的初始化參數(shù)。
可利用context-param元素聲明這些系統(tǒng)范圍內(nèi)的初始化值。context-param元素應(yīng)該包含param-name、param-value以及可選的description子元素，如下所示：

5.4 在服務(wù)器啟動時裝載servlet

假如servlet或JSP頁面有一個要花很長時間執(zhí)行的init （servlet）或jspInit（JSP）方法。例如，假如init或jspInit方法從某個數(shù)據(jù)庫或ResourceBundle查找產(chǎn)量。這種 情況下，在第一個客戶機(jī)請求時裝載servlet的缺省行為將對第一個客戶機(jī)產(chǎn)生較長時間的延遲。因此，可利用servlet的load-on- startup元素規(guī)定服務(wù)器在第一次啟動時裝載servlet。下面是一個例子。

 … 
 …  


可 以為此元素體提供一個整數(shù)而不是使用一個空的load-on-startup。想法是服務(wù)器應(yīng)該在裝載較大數(shù)目的servlet或JSP頁面之前裝載較少 數(shù)目的servlet或JSP頁面。例如，下面的servlet項（放置在Web應(yīng)用的WEB-INF目錄下的web.xml文件中的web-app元素 內(nèi)）將指示服務(wù)器首先裝載和初始化SearchServlet，然后裝載和初始化由位于Web應(yīng)用的result目錄中的index.jsp文件產(chǎn)生的 servlet。

Search
myPackage.SearchServlet 
1


Results
/results/index.jsp 
2


6 聲明過濾器

servlet版本2.3引入了過濾器的概念。雖然所有支持servlet API版本2.3的服務(wù)器都支持過濾器，但為了使用與過濾器有關(guān)的元素，必須在web.xml中使用版本2.3的DTD。
過 濾器可截取和修改進(jìn)入一個servlet或JSP頁面的請求或從一個servlet或JSP頁面發(fā)出的相應(yīng)。在執(zhí)行一個servlet或JSP頁面之前， 必須執(zhí)行第一個相關(guān)的過濾器的doFilter方法。在該過濾器對其FilterChain對象調(diào)用doFilter時，執(zhí)行鏈中的下一個過濾器。如果沒 有其他過濾器，servlet或JSP頁面被執(zhí)行。過濾器具有對到來的ServletRequest對象的全部訪問權(quán)，因此，它們可以查看客戶機(jī)名、查找 到來的cookie等。為了訪問servlet或JSP頁面的輸出，過濾器可將響應(yīng)對象包裹在一個替身對象（stand-in object）中，比方說把輸出累加到一個緩沖區(qū)。在調(diào)用FilterChain對象的doFilter方法之后，過濾器可檢查緩沖區(qū)，如有必要，就對它 進(jìn)行修改，然后傳送到客戶機(jī)。
例如，程序清單5-11帝國難以了一個簡單的過濾器，只要訪問相關(guān)的servlet或JSP頁面，它就截取請求并在標(biāo)準(zhǔn)輸出上打印一個報告（開發(fā)過程中在桌面系統(tǒng)上運行時，大多數(shù)服務(wù)器都可以使用這個過濾器）。

程序清單5-11 ReportFilter.java
package moreservlets;

import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
import java.util.*;

/** Simple filter that prints a report on the standard output 
* whenever the associated servlet or JSP page is accessed.
* 

* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/

public class ReportFilter implements Filter {
public void doFilter(ServletRequest request,
ServletResponse response,
FilterChain chain)
throws ServletException, IOException {
HttpServletRequest req = (HttpServletRequest)request;
System.out.println(req.getRemoteHost() +
" tried to access " +
req.getRequestURL() +
" on " + new Date() + ".");
chain.doFilter(request,response);
}

public void init(FilterConfig config)
throws ServletException {
}

public void destroy() {}
}

一 旦建立了一個過濾器，可以在web.xml中利用filter元素以及filter-name（任意名稱）、file-class（完全限定的類名）和 （可選的）init-params子元素聲明它。請注意，元素在web.xml的web-app元素中出現(xiàn)的次序不是任意的；允許服務(wù)器（但不是必需的） 強(qiáng)制所需的次序，并且實際中有些服務(wù)器也是這樣做的。但這里要注意，所有filter元素必須出現(xiàn)在任意filter-mapping元素之前， filter-mapping元素又必須出現(xiàn)在所有servlet或servlet-mapping元素之前。
例如，給定上述的ReportFilter類，可在web.xml中作出下面的filter聲明。它把名稱Reporter與實際的類ReportFilter（位于moreservlets程序包中）相關(guān)聯(lián)。

Reporter
moresevlets.ReportFilter

一旦命名了一個過濾器，可利用filter-mapping元素把它與一個或多個servlet或JSP頁面相關(guān)聯(lián)。關(guān)于此項工作有兩種選擇。
首 先，可使用filter-name和servlet-name子元素把此過濾器與一個特定的servlet名（此servlet名必須稍后在相同的 web.xml文件中使用servlet元素聲明）關(guān)聯(lián)。例如，下面的程序片斷指示系統(tǒng)只要利用一個定制的URL訪問名為SomeServletName 的servlet或JSP頁面，就運行名為Reporter的過濾器。

Reporter
SomeServletName

其次，可利用filter-name和url-pattern子元素將過濾器與一組servlet、JSP頁面或靜態(tài)內(nèi)容相關(guān)聯(lián)。例如，相面的程序片段指示系統(tǒng)只要訪問Web應(yīng)用中的任意URL，就運行名為Reporter的過濾器。

Reporter
/*

例 如，程序清單5-12給出了將ReportFilter過濾器與名為PageName的servlet相關(guān)聯(lián)的web.xml文件的一部分。名字 PageName依次又與一個名為TestPage.jsp的JSP頁面以及以模式http: //host/webAppPrefix/UrlTest2/ 開頭的URL相關(guān)聯(lián)。TestPage.jsp的源代碼已經(jīng)JSP頁面命名的談?wù)撛谇懊娴?節(jié)"分配名稱和定制的URL"中給出。事實上，程序清單5- 12中的servlet和servlet-name項從該節(jié)原封不動地拿過來的。給定這些web.xml項，可看到下面的標(biāo)準(zhǔn)輸出形式的調(diào)試報告（換行是 為了容易閱讀）。
audit.irs.gov tried to access 
http://mycompany.com/deployDemo/UrlTest2/business/tax-plan.html
on Tue Dec 25 13:12:29 EDT 2001.

程序清單5-12 Web.xml（說明filter用法的摘錄）

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">



Reporter
moresevlets.ReportFilter



Reporter
PageName



PageName
/RealPage.jsp



 PageName 
/UrlTest2/*





7 指定歡迎頁

假 如用戶提供了一個像http: //host/webAppPrefix/directoryName/ 這樣的包含一個目錄名但沒有包含文件名的URL，會發(fā)生什么事情呢？用戶能得到一個目錄表？一個錯誤？還是標(biāo)準(zhǔn)文件的內(nèi)容？如果得到標(biāo)準(zhǔn)文件內(nèi)容，是 index.html、index.jsp、default.html、default.htm或別的什么東西呢？
Welcome-file-list 元素及其輔助的welcome-file元素解決了這個模糊的問題。例如，下面的web.xml項指出，如果一個URL給出一個目錄名但未給出文件名，服 務(wù)器應(yīng)該首先試用index.jsp，然后再試用index.html。如果兩者都沒有找到，則結(jié)果有賴于所用的服務(wù)器（如一個目錄列表）。

index.jsp
index.html

雖然許多服務(wù)器缺省遵循這種行為，但不一定必須這樣。因此，明確地使用welcom-file-list保證可移植性是一種良好的習(xí)慣。

8 指定處理錯誤的頁面

現(xiàn) 在我了解到，你在開發(fā)servlet和JSP頁面時從不會犯錯誤，而且你的所有頁面是那樣的清晰，一般的程序員都不會被它們的搞糊涂。但是，是人總會犯錯 誤的，用戶可能會提供不合規(guī)定的參數(shù)，使用不正確的URL或者不能提供必需的表單字段值。除此之外，其它開發(fā)人員可能不那么細(xì)心，他們應(yīng)該有些工具來克服 自己的不足。
error-page元素就是用來克服這些問題的。它有兩個可能的子元素，分別是：error-code和exception- type。第一個子元素error-code指出在給定的HTTP錯誤代碼出現(xiàn)時使用的URL。第二個子元素excpetion-type指出在出現(xiàn)某個 給定的Java異常但未捕捉到時使用的URL。error-code和exception-type都利用location元素指出相應(yīng)的URL。此 URL必須以/開始。location所指出的位置處的頁面可通過查找HttpServletRequest對象的兩個專門的屬性來訪問關(guān)于錯誤的信息， 這兩個屬性分別是：javax.servlet.error.status_code和javax.servlet.error.message。
可回憶一下，在web.xml內(nèi)以正確的次序聲明web-app的子元素很重要。這里只要記住，error-page出現(xiàn)在web.xml文件的末尾附近，servlet、servlet-name和welcome-file-list之后即可。

8.1 error-code元素

為了更好地了解error-code元素的值，可考慮一下如果不正確地輸入文件名，大多數(shù)站點會作出什么反映。這樣做一般會出現(xiàn)一個404錯誤信息，它表示不能找到該文件，但幾乎沒提供更多有用的信息。另一方面，可以試一下在www.microsoft.com、www.ibm.com 處或者特別是在www.bea.com 處輸出未知的文件名。這是會得出有用的消息，這些消息提供可選擇的位置，以便查找感興趣的頁面。提供這樣有用的錯誤頁面對于Web應(yīng)用來說是很有價值得。 事實上rm-error-page子元素）。由form-login-page給出的HTML表單必須具有一個j_security_check的 ACTION屬性、一個名為j_username的用戶名文本字段以及一個名為j_password的口令字段。
例如，程序清單5-19指示服務(wù)器使用基于表單的驗證。Web應(yīng)用的頂層目錄中的一個名為login.jsp的頁面將收集用戶名和口令，并且失敗的登陸將由相同目錄中名為login-error.jsp的頁面報告。

程序清單5-19 web.xml（說明login-config的摘錄）

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">



 ... 

 FORM 

/login.jsp
/login-error.jsp






9.2 限制對Web資源的訪問

現(xiàn) 在，可以指示服務(wù)器使用何種驗證方法了。"了不起，"你說道，"除非我能指定一個來收到保護(hù)的 URL，否則沒有多大用處。"沒錯。指出這些URL并說明他們應(yīng)該得到何種保護(hù)正是security-constriaint元素的用途。此元素在 web.xml中應(yīng)該出現(xiàn)在login-config的緊前面。它包含是個可能的子元素，分別是：web-resource-collection、 auth-constraint、user-data-constraint和display-name。下面各小節(jié)對它們進(jìn)行介紹。
l web-resource-collection
此 元素確定應(yīng)該保護(hù)的資源。所有security-constraint元素都必須包含至少一個web-resource-collection項。此元素 由一個給出任意標(biāo)識名稱的web-resource-name元素、一個確定應(yīng)該保護(hù)的URL的url-pattern元素、一個指出此保護(hù)所適用的 HTTP命令（GET、POST等，缺省為所有方法）的http-method元素和一個提供資料的可選description元素組成。例如，下面的 Web-resource-collection項（在security-constratint元素內(nèi)）指出Web應(yīng)用的proprietary目錄中 所有文檔應(yīng)該受到保護(hù)。


Proprietary
/propritary/*



重 要的是應(yīng)該注意到，url-pattern僅適用于直接訪問這些資源的客戶機(jī)。特別是，它不適合于通過MVC體系結(jié)構(gòu)利用 RequestDispatcher來訪問的頁面，或者不適合于利用類似jsp:forward的手段來訪問的頁面。這種不勻稱如果利用得當(dāng)?shù)脑捄苡泻?nbsp;處。例如，servlet可利用MVC體系結(jié)構(gòu)查找數(shù)據(jù)，把它放到bean中，發(fā)送請求到從bean中提取數(shù)據(jù)的JSP頁面并顯示它。我們希望保證決不直 接訪問受保護(hù)的JSP頁面，而只是通過建立該頁面將使用的bean的servlet來訪問它。url-pattern和auth-contraint元素 可通過聲明不允許任何用戶直接訪問JSP頁面來提供這種保證。但是，這種不勻稱的行為可能讓開發(fā)人員放松警惕，使他們偶然對應(yīng)受保護(hù)的資源提供不受限制的 訪問。 
l auth-constraint
盡管web-resource-collention元素質(zhì)出了哪些URL應(yīng)該受到保護(hù)， 但是auth-constraint元素卻指出哪些用戶應(yīng)該具有受保護(hù)資源的訪問權(quán)。此元素應(yīng)該包含一個或多個標(biāo)識具有訪問權(quán)限的用戶類別role- name元素，以及包含（可選）一個描述角色的description元素。例如，下面web.xml中的security-constraint元素部 門規(guī)定只有指定為Administrator或Big Kahuna（或兩者）的用戶具有指定資源的訪問權(quán)。

 ... 

administrator
kahuna


重要的是認(rèn)識到，到此為止，這個過程的可移植部分結(jié)束了。服務(wù)器怎樣確定哪些用戶處于任何角色以及它怎樣存放用戶的口令，完全有賴于具體的系統(tǒng)。
例如，Tomcat使用install_dir/conf/tomcat-users.xml將用戶名與角色名和口令相關(guān)聯(lián)，正如下面例子中所示，它指出用戶joe（口令bigshot）和jane（口令enaj）屬于administrator和kahuna角色。




l user-data-constraint
這 個可選的元素指出在訪問相關(guān)資源時使用任何傳輸層保護(hù)。它必須包含一個transport-guarantee子元素（合法值為NONE、 INTEGRAL或CONFIDENTIAL），并且可選地包含一個description元素。transport-guarantee為NONE值將 對所用的通訊協(xié)議不加限制。INTEGRAL值表示數(shù)據(jù)必須以一種防止截取它的人閱讀它的方式傳送。雖然原理上（并且在未來的HTTP版本中），在 INTEGRAL和CONFIDENTIAL之間可能會有差別，但在當(dāng)前實踐中，他們都只是簡單地要求用SSL。例如，下面指示服務(wù)器只允許對相關(guān)資源做 HTTPS連接：



CONFIDENTIAL


l display-name
security-constraint的這個很少使用的子元素給予可能由GUI工具使用的安全約束項一個名稱。

9.3 分配角色名

迄今為止，討論已經(jīng)集中到完全由容器（服務(wù)器）處理的安全問題之上了。但servlet以及JSP頁面也能夠處理它們自己的安全問題。
例 如，容器可能允許用戶從bigwig或bigcheese角色訪問一個顯示主管人員額外緊貼的頁面，但只允許bigwig用戶修改此頁面的參數(shù)。完成這種 更細(xì)致的控制的一種常見方法是調(diào)用HttpServletRequset的isUserInRole方法，并據(jù)此修改訪問。
Servlet的 security-role-ref子元素提供出現(xiàn)在服務(wù)器專用口令文件中的安全角色名的一個別名。例如，假如編寫了一個調(diào)用 request.isUserInRole（"boss"）的servlet，但后來該servlet被用在了一個其口令文件調(diào)用角色manager而不 是boss的服務(wù)器中。下面的程序段使該servlet能夠使用這兩個名稱中的任何一個。



boss 
manager 


也可以在web-app內(nèi)利用security-role元素提供將出現(xiàn)在role-name元素中的所有安全角色的一個全局列表。分別地生命角色使高級IDE容易處理安全信息。

10 控制會話超時

如 果某個會話在一定的時間內(nèi)未被訪問，服務(wù)器可把它扔掉以節(jié)約內(nèi)存。可利用HttpSession的setMaxInactiveInterval方法直接 設(shè)置個別會話對象的超時值。如果不采用這種方法，則缺省的超時值由具體的服務(wù)器決定。但可利用session-config和session- timeout元素來給出一個適用于所有服務(wù)器的明確的超時值。超時值的單位為分鐘，因此，下面的例子設(shè)置缺省會話超時值為三個小時（180分鐘）。

180


11 Web應(yīng)用的文檔化

越 來越多的開發(fā)環(huán)境開始提供servlet和JSP的直接支持。例子有Borland Jbuilder Enterprise Edition、Macromedia UltraDev、Allaire JRun Studio（寫此文時，已被Macromedia收購）以及IBM VisuaAge for Java等。
大量的web.xml元素不僅是為服務(wù)器設(shè)計的，而且還是為可視開發(fā)環(huán)境設(shè)計的。它們包括icon、display-name和discription等。
可回憶一下，在web.xml內(nèi)以適當(dāng)?shù)卮涡蚵暶鱳eb-app子元素很重要。不過，這里只要記住icon、display-name和description是web.xml的web-app元素內(nèi)的前三個合法元素即可。
l icon
icon元素指出GUI工具可用來代表Web應(yīng)用的一個和兩個圖像文件。可利用small-icon元素指定一幅16 x 16的GIF或JPEG圖像，用large-icon元素指定一幅32 x 32的圖像。下面舉一個例子： 

/images/small-book.gif
/images/tome.jpg

l display-name
display-name元素提供GUI工具可能會用來標(biāo)記此Web應(yīng)用的一個名稱。下面是個例子。
Rare Books
l description
description元素提供解釋性文本，如下所示：

This Web application represents the store developed for
rare-books.com, an online bookstore specializing in rare
and limited-edition books.


轉(zhuǎn)CSDN