憨厚生

5.2 分配JSP初始化參數
給JSP頁面提供初始化參數在三個方面不同于給servlet提供初始化參數。
1）使用jsp-file而不是servlet-class。因此，WEB-INF/web.xml文件的servlet元素如下所示：

<servlet>
<servlet-name>PageName</servlet-name>
<jsp-file>/RealPage.jsp</jsp-file>
<init-param>
<param-name>...</param-name>
<param-value>...</param-value>
</init-param>
...
</servlet>

2) 幾乎總是分配一個明確的URL模式。對servlet，一般相應地使用以http://host/webAppPrefix/servlet/ 開始的缺省URL。只需記住，使用注冊名而不是原名稱即可。這對于JSP頁面在技術上也是合法的。例如，在上面給出的例子中，可用URL http://host/webAppPrefix/servlet/PageName 訪問RealPage.jsp的對初始化參數具有訪問權的版本。但在用于JSP頁面時，許多用戶似乎不喜歡應用常規的servlet的URL。此外，如果 JSP頁面位于服務器為其提供了目錄清單的目錄中（如，一個既沒有index.html也沒有index.jsp文件的目錄），則用戶可能會連接到此 JSP頁面，單擊它，從而意外地激活未初始化的頁面。因此，好的辦法是使用url-pattern（5.3節）將JSP頁面的原URL與注冊的 servlet名相關聯。這樣，客戶機可使用JSP頁面的普通名稱，但仍然激活定制的版本。例如，給定來自項目1的servlet定義，可使用下面的 servlet-mapping定義：

<servlet-mapping>
<servlet-name>PageName</servlet-name>
<url-pattern>/RealPage.jsp</url-pattern>
</servlet-mapping>

3）JSP頁使用jspInit而不是init。自動從JSP頁面建立的servlet或許已經使用了inti方法。因此，使用JSP聲明提供一個init方法是不合法的，必須制定jspInit方法。
為 了說明初始化JSP頁面的過程，程序清單5-9給出了一個名為InitPage.jsp的JSP頁面，它包含一個jspInit方法且放置于 deployDemo Web應用層次結構的頂層。一般，http://host/deployDemo/InitPage.jsp 形式的URL將激活此頁面的不具有初始化參數訪問權的版本，從而將對firstName和emailAddress變量顯示null。但是， web.xml文件（程序清單5-10）分配了一個注冊名，然后將該注冊名與URL模式/InitPage.jsp相關聯。

程序清單5-9 InitPage.jsp

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD><TITLE>JSP Init Test</TITLE></HEAD>
<BODY BGCOLOR="#FDF5E6">
<H2>Init Parameters:</H2>
<UL>
<LI>First name: <%= firstName %>
<LI>Email address: <%= emailAddress %>
</UL>
</BODY></HTML>
<%!
private String firstName, emailAddress;
public void jspInit() {
ServletConfig config = getServletConfig();
firstName = config.getInitParameter("firstName");
emailAddress = config.getInitParameter("emailAddress");
}
%>

程序清單5-10 web.xml（說明JSP頁面的init參數的摘錄）

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<!-- ... -->
<servlet>
<servlet-name>InitPage</servlet-name>
<jsp-file>/InitPage.jsp</jsp-file>
<init-param>
<param-name>firstName</param-name>
<param-value>Bill</param-value>
</init-param>
<init-param>
<param-name>emailAddress</param-name>
<param-value>gates@oracle.com</param-value>
</init-param>
</servlet>
<!-- ... -->
<servlet-mapping>
<servlet-name> InitPage</servlet-name>
<url-pattern>/InitPage.jsp</url-pattern>
</servlet-mapping>
<!-- ... -->
</web-app>

5.3 提供應用范圍內的初始化參數
一般，對單個地servlet或JSP頁面分配初始化參數。指定的servlet或 JSP頁面利用ServletConfig的getInitParameter方法讀取這些參數。但是，在某些情形下，希望提供可由任意servlet或 JSP頁面借助ServletContext的getInitParameter方法讀取的系統范圍內的初始化參數。
可利用context-param元素聲明這些系統范圍內的初始化值。context-param元素應該包含param-name、param-value以及可選的description子元素，如下所示：
<context-param>
<param-name>support-email</param-name>
<param-value>blackhole@mycompany.com</param-value>
</context-param>
可 回憶一下，為了保證可移植性，web.xml內的元素必須以正確的次序聲明。但這里應該注意，context-param元素必須出現任意與文檔有關的元 素（icon、display-name或description）之后及filter、filter-mapping、listener或 servlet元素之前。
5.4 在服務器啟動時裝載servlet
假如servlet或JSP頁面有一個要花很長時間執行的 init （servlet）或jspInit（JSP）方法。例如，假如init或jspInit方法從某個數據庫或ResourceBundle查找產量。這種 情況下，在第一個客戶機請求時裝載servlet的缺省行為將對第一個客戶機產生較長時間的延遲。因此，可利用servlet的load-on- startup元素規定服務器在第一次啟動時裝載servlet。下面是一個例子。

<servlet>
<servlet-name> … </servlet-name>
<servlet-class> … </servlet-class> <!-- or jsp-file -->
<load-on-startup/>
</servlet>

可以為此元素體提供一個整數而不是使用一個空的load-on-startup。想法是服務器應該在裝載較大數目的servlet或JSP頁面之前 裝載較少數目的servlet或JSP頁面。例如，下面的servlet項（放置在Web應用的WEB-INF目錄下的web.xml文件中的web- app元素內）將指示服務器首先裝載和初始化SearchServlet，然后裝載和初始化由位于Web應用的result目錄中的index.jsp文 件產生的 servlet。

<servlet>
<servlet-name>Search</servlet-name>
<servlet-class>myPackage.SearchServlet</servlet-class> <!-- or jsp-file -->
<load-on-startup>1</load-on-startup>
</servlet>
<servlet>
<servlet-name>Results</servlet-name>
<servlet-class>/results/index.jsp</servlet-class> <!-- or jsp-file -->
<load-on-startup>2</load-on-startup>
</servlet>

6 聲明過濾器

servlet版本2.3引入了過濾器的概念。雖然所有支持servlet API版本2.3的服務器都支持過濾器，但為了使用與過濾器有關的元素，必須在web.xml中使用版本2.3的DTD。
過 濾器可截取和修改進入一個servlet或JSP頁面的請求或從一個servlet或JSP頁面發出的相應。在執行一個servlet或JSP頁面之前， 必須執行第一個相關的過濾器的doFilter方法。在該過濾器對其FilterChain對象調用doFilter時，執行鏈中的下一個過濾器。如果沒 有其他過濾器，servlet或JSP頁面被執行。過濾器具有對到來的ServletRequest對象的全部訪問權，因此，它們可以查看客戶機名、查找 到來的cookie等。為了訪問servlet或JSP頁面的輸出，過濾器可將響應對象包裹在一個替身對象（stand-in object）中，比方說把輸出累加到一個緩沖區。在調用FilterChain對象的doFilter方法之后，過濾器可檢查緩沖區，如有必要，就對它 進行修改，然后傳送到客戶機。
例如，程序清單5-11帝國難以了一個簡單的過濾器，只要訪問相關的servlet或JSP頁面，它就截取請求并在標準輸出上打印一個報告（開發過程中在桌面系統上運行時，大多數服務器都可以使用這個過濾器）。

程序清單5-11 ReportFilter.java

package moreservlets;
import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
import java.util.*;
/** Simple filter that prints a report on the standard output
* whenever the associated servlet or JSP page is accessed.
* <P>
* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/
public class ReportFilter implements Filter {
public void doFilter(ServletRequest request,
ServletResponse response,
FilterChain chain)
throws ServletException, IOException {
HttpServletRequest req = (HttpServletRequest)request;
System.out.println(req.getRemoteHost() +
" tried to access " +
req.getRequestURL() +
" on " + new Date() + ".");
chain.doFilter(request,response);
}
public void init(FilterConfig config)
throws ServletException {
}
public void destroy() {}
}

一旦建立了一個過濾器，可以在web.xml中利用filter元素以及filter-name（任意名稱）、file-class（完全限定的類 名）和（可選的）init-params子元素聲明它。請注意，元素在web.xml的web-app元素中出現的次序不是任意的；允許服務器（但不是必 需的）強制所需的次序，并且實際中有些服務器也是這樣做的。但這里要注意，所有filter元素必須出現在任意filter-mapping元素之前， filter-mapping元素又必須出現在所有servlet或servlet-mapping元素之前。
例如，給定上述的ReportFilter類，可在web.xml中作出下面的filter聲明。它把名稱Reporter與實際的類ReportFilter（位于moreservlets程序包中）相關聯。

<filter>
<filter-name>Reporter</filter-name>
<filter-class>moresevlets.ReportFilter</filter-class>
</filter>

一旦命名了一個過濾器，可利用filter-mapping元素把它與一個或多個servlet或JSP頁面相關聯。關于此項工作有兩種選擇。
首 先，可使用filter-name和servlet-name子元素把此過濾器與一個特定的servlet名（此servlet名必須稍后在相同的 web.xml文件中使用servlet元素聲明）關聯。例如，下面的程序片斷指示系統只要利用一個定制的URL訪問名為SomeServletName 的servlet或JSP頁面，就運行名為Reporter的過濾器。

<filter-mapping>
<filter-name>Reporter</filter-name>
<servlet-name>SomeServletName</servlet-name>
</filter-mapping>

其次，可利用filter-name和url-pattern子元素將過濾器與一組servlet、JSP頁面或靜態內容相關聯。例如，相面的程序片段指示系統只要訪問Web應用中的任意URL，就運行名為Reporter的過濾器。

<filter-mapping>
<filter-name>Reporter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

例如，程序清單5-12給出了將ReportFilter過濾器與名為PageName的servlet相關聯的web.xml文件的一部分。名字 PageName依次又與一個名為TestPage.jsp的JSP頁面以及以模式http: //host/webAppPrefix/UrlTest2/ 開頭的URL相關聯。TestPage.jsp的源代碼已經JSP頁面命名的談論在前面的3節"分配名稱和定制的URL"中給出。事實上，程序清單5- 12中的servlet和servlet-name項從該節原封不動地拿過來的。給定這些web.xml項，可看到下面的標準輸出形式的調試報告（換行是 為了容易閱讀）。
audit.irs.gov tried to access
http://mycompany.com/deployDemo/UrlTest2/business/tax-plan.html
on Tue Dec 25 13:12:29 EDT 2001.

程序清單5-12 Web.xml（說明filter用法的摘錄）

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<filter>
<filter-name>Reporter</filter-name>
<filter-class>moresevlets.ReportFilter</filter-class>
</filter>
<!-- ... -->
<filter-mapping>
<filter-name>Reporter</filter-name>
<servlet-name>PageName</servlet-name>
</filter-mapping>
<!-- ... -->
<servlet>
<servlet-name>PageName</servlet-name>
<jsp-file>/RealPage.jsp</jsp-file>
</servlet>
<!-- ... -->
<servlet-mapping>
<servlet-name> PageName </servlet-name>
<url-pattern>/UrlTest2/*</url-pattern>
</servlet-mapping>
<!-- ... -->
</web-app>

7 指定歡迎頁 假如用戶提供了一個像http: //host/webAppPrefix/directoryName/ 這樣的包含一個目錄名但沒有包含文件名的URL，會發生什么事情呢？用戶能得到一個目錄表？一個錯誤？還是標準文件的內容？如果得到標準文件內容，是 index.html、index.jsp、default.html、default.htm或別的什么東西呢？ Welcome-file-list 元素及其輔助的welcome-file元素解決了這個模糊的問題。例如，下面的web.xml項指出，如果一個URL給出一個目錄名但未給出文件名，服 務器應該首先試用index.jsp，然后再試用index.html。如果兩者都沒有找到，則結果有賴于所用的服務器（如一個目錄列表）。 雖然許多服務器缺省遵循這種行為，但不一定必須這樣。因此，明確地使用welcom-file-list保證可移植性是一種良好的習慣。

8 指定處理錯誤的頁面 現在我了解到，你在開發servlet和JSP頁面時從不會犯錯誤，而且你的所有頁面是那樣的清晰，一般的程序員都不會被它們的搞糊涂。但是，是人總會犯 錯誤的，用戶可能會提供不合規定的參數，使用不正確的URL或者不能提供必需的表單字段值。除此之外，其它開發人員可能不那么細心，他們應該有些工具來克 服自己的不足。 error-page元素就是用來克服這些問題的。它有兩個可能的子元素，分別是：error-code和exception- type。第一個子元素error-code指出在給定的HTTP錯誤代碼出現時使用的URL。第二個子元素excpetion-type指出在出現某個 給定的Java異常但未捕捉到時使用的URL。error-code和exception-type都利用location元素指出相應的URL。此 URL必須以/開始。location所指出的位置處的頁面可通過查找HttpServletRequest對象的兩個專門的屬性來訪問關于錯誤的信息， 這兩個屬性分別是：javax.servlet.error.status_code和javax.servlet.error.message。 可回憶一下，在web.xml內以正確的次序聲明web-app的子元素很重要。這里只要記住，error-page出現在web.xml文件的末尾附 近，servlet、servlet-name和welcome-file-list之后即可。

8.1 error-code元素 為了更好地了解error-code元素的值，可考慮一下如果不正確地輸入文件名，大多數站點會作出什么反映。這樣做一般會出現一個404錯誤信息，它表 示不能找到該文件，但幾乎沒提供更多有用的信息。另一方面，可以試一下在www.microsoft.com、www.ibm.com 處或者特別是在www.bea.com 處輸出未知的文件名。這是會得出有用的消息，這些消息提供可選擇的位置，以便查找感興趣的頁面。提供這樣有用的錯誤頁面對于Web應用來說是很有價值得。 事實上rm-error-page子元素）。由form-login-page給出的HTML表單必須具有一個j_security_check的 ACTION屬性、一個名為j_username的用戶名文本字段以及一個名為j_password的口令字段。 例如，程序清單5-19指示服務器使用基于表單的驗證。Web應用的頂層目錄中的一個名為login.jsp的頁面將收集用戶名和口令，并且失敗的登陸將 由相同目錄中名為login-error.jsp的頁面報告。 程序清單5-19 web.xml（說明login-config的摘錄）

9.2 限制對Web資源的訪問 現在，可以指示服務器使用何種驗證方法了。"了不起，"你說道，"除非我能指定一個來收到保護的 URL，否則沒有多大用處。"沒錯。指出這些URL并說明他們應該得到何種保護正是security-constriaint元素的用途。此元素在 web.xml中應該出現在login-config的緊前面。它包含是個可能的子元素，分別是：web-resource-collection、 auth-constraint、user-data-constraint和display-name。下面各小節對它們進行介紹。 l web-resource-collection 此元素確定應該保護的資源。所有security-constraint元素都必須包含至少一個web-resource-collection項。此元 素由一個給出任意標識名稱的web-resource-name元素、一個確定應該保護的URL的url-pattern元素、一個指出此保護所適用的 HTTP命令（GET、POST等，缺省為所有方法）的http-method元素和一個提供資料的可選description元素組成。例如，下面的 Web-resource-collection項（在security-constratint元素內）指出Web應用的proprietary目錄中 所有文檔應該受到保護。 重要的是應該注意到，url-pattern僅適用于直接訪問這些資源的客戶機。特別是，它不適合于通過MVC體系結構利用 RequestDispatcher來訪問的頁面，或者不適合于利用類似jsp:forward的手段來訪問的頁面。這種不勻稱如果利用得當的話很有好 處。例如，servlet可利用MVC體系結構查找數據，把它放到bean中，發送請求到從bean中提取數據的JSP頁面并顯示它。我們希望保證決不直 接訪問受保護的JSP頁面，而只是通過建立該頁面將使用的bean的servlet來訪問它。url-pattern和auth-contraint元素 可通過聲明不允許任何用戶直接訪問JSP頁面來提供這種保證。但是，這種不勻稱的行為可能讓開發人員放松警惕，使他們偶然對應受保護的資源提供不受限制的 訪問。 l auth-constraint 盡管web-resource-collention元素質出了哪些URL應該受到保護，但是auth-constraint元素卻指出哪些用戶應該具有 受保護資源的訪問權。此元素應該包含一個或多個標識具有訪問權限的用戶類別role- name元素，以及包含（可選）一個描述角色的description元素。例如，下面web.xml中的security-constraint元素部 門規定只有指定為Administrator或Big Kahuna（或兩者）的用戶具有指定資源的訪問權。 重要的是認識到，到此為止，這個過程的可移植部分結束了。服務器怎樣確定哪些用戶處于任何角色以及它怎樣存放用戶的口令，完全有賴于具體的系統。 例如，Tomcat使用install_dir/conf/tomcat-users.xml將用戶名與角色名和口令相關聯，正如下面例子中所示，它指出 用戶joe（口令bigshot）和jane（口令enaj）屬于administrator和kahuna角色。 l user-data-constraint 這個可選的元素指出在訪問相關資源時使用任何傳輸層保護。它必須包含一個transport-guarantee子元素（合法值為NONE、 INTEGRAL或CONFIDENTIAL），并且可選地包含一個description元素。transport-guarantee為NONE值將 對所用的通訊協議不加限制。INTEGRAL值表示數據必須以一種防止截取它的人閱讀它的方式傳送。雖然原理上（并且在未來的HTTP版本中），在 INTEGRAL和CONFIDENTIAL之間可能會有差別，但在當前實踐中，他們都只是簡單地要求用SSL。例如，下面指示服務器只允許對相關資源做 HTTPS連接： l display-name security-constraint的這個很少使用的子元素給予可能由GUI工具使用的安全約束項一個名稱。 9.3 分配角色名 迄今為止，討論已經集中到完全由容器（服務器）處理的安全問題之上了。但servlet以及JSP頁面也能夠處理它們自己的安全問題。 例如，容器可能允許用戶從bigwig或bigcheese角色訪問一個顯示主管人員額外緊貼的頁面，但只允許bigwig用戶修改此頁面的參數。完成這 種更細致的控制的一種常見方法是調用HttpServletRequset的isUserInRole方法，并據此修改訪問。 Servlet的 security-role-ref子元素提供出現在服務器專用口令文件中的安全角色名的一個別名。例如，假如編寫了一個調用 request.isUserInRole（"boss"）的servlet，但后來該servlet被用在了一個其口令文件調用角色manager而不 是boss的服務器中。下面的程序段使該servlet能夠使用這兩個名稱中的任何一個。 也可以在web-app內利用security-role元素提供將出現在role-name元素中的所有安全角色的一個全局列表。分別地生命角色使高級 IDE容易處理安全信息。 10 控制會話超時 如果某個會話在一定的時間內未被訪問，服務器可把它扔掉以節約內存。可利用HttpSession的setMaxInactiveInterval方法直 接設置個別會話對象的超時值。如果不采用這種方法，則缺省的超時值由具體的服務器決定。但可利用session-config和session- timeout元素來給出一個適用于所有服務器的明確的超時值。超時值的單位為分鐘，因此，下面的例子設置缺省會話超時值為三個小時（180分鐘）。

11 Web應用的文檔化 越來越多的開發環境開始提供servlet和JSP的直接支持。例子有Borland Jbuilder Enterprise Edition、Macromedia UltraDev、Allaire JRun Studio（寫此文時，已被Macromedia收購）以及IBM VisuaAge for Java等。 大量的web.xml元素不僅是為服務器設計的，而且還是為可視開發環境設計的。它們包括icon、display-name和discription 等。 可回憶一下，在web.xml內以適當地次序聲明web-app子元素很重要。不過，這里只要記住icon、display-name和 description是web.xml的web-app元素內的前三個合法元素即可。 l icon icon元素指出GUI工具可用來代表Web應用的一個和兩個圖像文件。可利用small-icon元素指定一幅16 x 16的GIF或JPEG圖像，用large-icon元素指定一幅32 x 32的圖像。下面舉一個例子： l display-name display-name元素提供GUI工具可能會用來標記此Web應用的一個名稱。下面是個例子。 l description description元素提供解釋性文本，如下所示： 12 關聯文件與MIME類型 服務器一般都具有一種讓Web站點管理員將文件擴展名與媒體相關聯的方法。例如，將會自動給予名為mom.jpg的文件一個image/jpeg的 MIME 類型。但是，假如你的Web應用具有幾個不尋常的文件，你希望保證它們在發送到客戶機時分配為某種MIME類型。mime-mapping元素（具有 extension和mime-type子元素）可提供這種保證。例如，下面的代碼指示服務器將application/x-fubar的MIME類型分 配給所有以.foo結尾的文件。 或許，你的Web應用希望重載（override）標準的映射。例如，下面的代碼將告訴服務器在發送到客戶機時指定.ps文件作為純文本 （text/plain）而不是作為PostScript（application/postscript）。

13 定位TLD JSP taglib元素具有一個必要的uri屬性，它給出一個TLD（Tag Library Descriptor）文件相對于Web應用的根的位置。TLD文件的實際名稱在發布新的標簽庫版本時可能會改變，但我們希望避免更改所有現有JSP頁 面。此外，可能還希望使用保持taglib元素的簡練性的一個簡短的uri。這就是部署描述符文件的taglib元素派用場的所在了。Taglib包含兩 個子元素：taglib-uri和taglib-location。taglib-uri元素應該與用于JSP taglib元素的uri屬性的東西相匹配。Taglib-location元素給出TLD文件的實際位置。例如，假如你將文件chart-tags- 1.3beta.tld放在WebApp/WEB-INF/tlds中。現在，假如web.xml在web-app元素內包含下列內容。 給出這個說明后，JSP頁面可通過下面的簡化形式使用標簽庫。 14 指定應用事件監聽程序 應用事件監聽器程序是建立或修改servlet環境或會話對象時通知的類。它們是servlet規范的版本2.3中的新內容。這里只簡單地說明用來向 Web應用注冊一個監聽程序的web.xml的用法。 注冊一個監聽程序涉及在web.xml的web-app元素內放置一個listener元素。在listener元素內，listener-class元 素列出監聽程序的完整的限定類名，如下所示： <listener> 雖然listener元素的結構很簡單，但請不要忘記，必須正確地給出web-app元素內的子元素的次序。listener元素位于所有的 servlet 元素之前以及所有filter-mapping元素之后。此外，因為應用生存期監聽程序是serlvet規范的2.3版本中的新內容，所以必須使用 web.xml DTD的2.3版本，而不是2.2版本。 例如，程序清單5-20給出一個名為ContextReporter的簡單的監聽程序，只要Web應用的Servlet-Context建立（如裝載 Web應用）或消除（如服務器關閉）時，它就在標準輸出上顯示一條消息。程序清單5-21給出此監聽程序注冊所需要的web.xml文件的一部分。 程序清單5-20 ContextReporterjava 程序清單5-21 web.xml（聲明一個監聽程序的摘錄） 15 J2EE元素 本節描述用作J2EE環境組成部分的Web應用的web.xml元素。這里將提供一個簡明的介紹，詳細內容可以參閱 http://java.sun.com/j2ee/j2ee-1_3-fr-spec.pdf的Java 2 Plantform Enterprise Edition版本1.3規范的第5章。 l distributable distributable 元素指出，Web應用是以這樣的方式編程的：即，支持集群的服務器可安全地在多個服務器上分布Web應用。例如，一個可分布的應用必須只使用 Serializable對象作為其HttpSession對象的屬性，而且必須避免用實例變量（字段）來實現持續性。distributable元素直 接出現在discription元素之后，并且不包含子元素或數據，它只是一個如下的標志。 l resource-env-ref resource -env-ref元素聲明一個與某個資源有關的管理對象。此元素由一個可選的description元素、一個resource-env-ref- name元素（一個相對于java:comp/env環境的JNDI名）以及一個resource-env-type元素（指定資源類型的完全限定的 類），如下所示： l env-entry env -entry元素聲明Web應用的環境項。它由一個可選的description元素、一個env-entry-name元素（一個相對于java: comp/env環境JNDI名）、一個env-entry-value元素（項值）以及一個env-entry-type元素（java.lang程序 包中一個類型的完全限定類名，java.lang.Boolean、java.lang.String等）組成。下面是一個例子： l ejb-ref ejb -ref元素聲明對一個EJB的主目錄的應用。它由一個可選的description元素、一個ejb-ref-name元素（相對于java: comp/env的EJB應用）、一個ejb-ref-type元素（bean的類型，Entity或Session）、一個home元素（bean的主 目錄接口的完全限定名）、一個remote元素（bean的遠程接口的完全限定名）以及一個可選的ejb-link元素（當前bean鏈接的另一個 bean的名稱）組成。 l ejb-local-ref ejb-local-ref元素聲明一個EJB的本地主目錄的引用。除了用local-home代替home外，此元素具有與ejb-ref元素相同的屬 性并以相同的方式使用。