亚洲AV香蕉一区区二区三区,亚洲四虎永久在线播放,亚洲人成网站在线观看青青

Servlet2.3中文文档(�W?1,12,13�?

朱岩 — Mon, 20 Aug 2007 09:52:00 GMT

�W�十一�?��h��到servlet的映��?br>11.1 URI的��?br>web容器�Ҏ��客户端的��h��军_��要调用的资源�?br>URL路径映射规则是第一个匹配成功就不再匚w��了�?br>1�Q�引擎将��力为每一个请求一个servlet的�\径匹配一个servlet
2�Q�引擎将递归的匹配最长的路径前缀�Q�在一个目录树中）
3�Q�如果在URL路径中的最后一节有扩展名（例如�Q?jsp�Q�，则servlet引擎��会匚w��一个适当的servlet�?br>取请求对�?br>4�Q�如果没有一个servlet能够匚w��h��Q�引擎将用一个适当的资源来处理该请求。如�Q�在应用中配�|�了
默认的servlet�Q�就会被用来处理匚w��不到资源的请求�?br>11.2 匚w��规则
在web应用描述文�g中，匚w��的定义如下：
.�?/'开始，�?/*'为结��字符�?用作路径匚w��
.�?*.'开始的字符�Ԍ��用作扩展名匹�?br>.包含'/'字符�Ԍ��定义一个默认的servlet。如匚w��的servlet路径是请求URI路径的最��上下文路径�Q��\�l?br>的info为空�?br>.其它的字�W�串用作�_��的匹配�?br>11.2.1 �l�对匚w��
servlet引擎能够匚w��M��_��的资源，如后�~��?.jsp的匹配，引擎中有JSP引擎的话�Q�就会把所有的JSP
��面和与之对象的资源相匹配�?br>11.2.2 匚w��的例子：
path pattern servlet
/foo/bar/* servlet1
/baz/* servlet2
/catalog servlet3
*.bop servlet4
incoming path servlet handling request
/foo/bar/index.html servlet1
/foo/bar/index.bop servlet1
/baz servlet2
/baz/index.html servlet2
/catalog servlet3
/catalog/racecar.bop servlet4
/index.bop servlet4
�W�十二章安全
12.1介绍
web应用的资源能够被很多的用戯��问，�q�些资源�l�常没有保护的暴露在�|�络中，因此一个稳定的web
应用需要一个安全的环境�?br>提高安全性有以下的几个方面：
.认证�Q�访问一个实例前需要一个特�D�的ID�q�行授权认证后才能访问该实例
.资源的访问控�Ӟ��一些机密资源或局部资源只限制�l�某些用��h��E�序使用�?br>.数据完整性：在传输过�E�中数据不能被意外的改变�?br>.机密性：��定信息只能被授权过的用户��用�?br>12.2 公共安全
安全性声明是指表明应用是有安全结构的�Q�包括权限、访问控制、认证。在web应用中部�|�描�q�是安全
声明的主要工兗��?br>开发者应该�ؓ应用�q�行旉��一个逻辑安全�{�略�Q�在�q�行时中�Q�servlet引擎用这个安全策略去验证授权�?br>求�?br>安全模块应该适用web应用的静态内容，当servlet用RequestDispatcher调用一个静态资源或servlet�?br>forward或include,时安全模块不适用�?br>12.3 �E�序�U�安�?br>当应用的安全模块不能充分的表明安全时�E�序安全��可以被使用�?br>�E�序安全有以下部分组成：
HttpServletRequest接口�Q?br>.getRemoteUser
.isUserInRole
.getUserPrincipal
getRemoteUser�Ҏ��q�回客户端用��L��名称�Q�用于授权�?br>isUserInRole�Ҏ��判断�q�程用户是否在一个安全的角色内�?br>getUserPrincipal�Ҏ��q�回一个java.security.Principal对象�Q�表明当前用��L��主要名称。这个API允许
servlet�Ҏ��q�个信息处理一些业务逻辑�?br>如果用户没有授权�Q�getRemoteUser�q�回null�Q�isUserInRole�q�回false�Q�getUserPrincipal�q�回null�?br>isUserInRole以一个role-name为参数。一个security-role-ref元素为在部��v描述文�g中定义，role-name
子元素包含角色名�U�。Security-role包含一个子元素role-link,role-link的value值是客户端用户将匚w��?br>安全角色。当用isUserInRole时引擎将调用security-role-ref到security-role的匹配�?br>举个例子�Q?br>
FOO
manager

当一个用户属�?#8220;manager”角色是调用isUsesrInRole("FOO")�q�回true
如果匚w��一个security-role元素的security-role-ref没有被定义，引擎必须扑և�一个与security-role
列表不同的roel-name元素作�ؓweb应用默认的安全角艌Ӏ�但默认的安全角色限制了变换角色�?br>�U�C��需要重新编译的机动性�?br>12.4 角色
一个安全角色是一�l�用��L��逻辑名称。当应用发布�Ӟ��角色��部�|�在web应用的运行时环境�?br>了。在��Z��安全属性的��h��到来�Ӟ��servlet引擎��׃��执行公共安全或程序��安全。安全请求在�?br>下的一些情况中会��生：
1�Q�开发者给用户��配�|�了一个安全角艌Ӏ?br>2�Q�开发者把一个安全角色配�|�给一个安全域中的一个主要名�U��?br>12.5 验证
web客户端可以用以下的一些机刉��证用��P��
.HTTP Basic Authentication
.HTTP Digest Authentication
.HTTPS Client Authentication
.Form Based Authentication
12.5.1 HTTP Basic Authentication
HTTP Basic Authentication是基于用户名和密码的验证机制�Q�是在HTTP/1.0规范中定义的。web
服务要求客户端验证用��P��web服务用一个realm字符串作��求的一部分�Q�用户通过�q�个realm
字符串被验证。realm字符串不会和��M��安全域相兌��。客��L��获得用户名称和密码发送到服务
端。然后服务端用一个特�D�的realm去验证该用户�?br>Basic Authentication 不是安全的验证协议。用��L��密码是用base64�~�码的，服务端是不能够识
别的。一些附加的安全措施可以被��用，�q�些协议有：HTTPS安全传输协议或网�l�安全标准（�?br>IPSEC协议、VPN�{�略�Q��?br>12.5.2 HTTP Digest Authentication
和HTTP Basic Authentication一��P��HTTP Digest Authentication 也是验证用户名和密码的。然�?br>�q�种验证是把密码加密传输的，要比Basic Authentication的base64�~�码要安全的多。Digest
Authentication 没有被广泛的�q�用�Q�徏议servlet引擎支持�q�种验证�Q�但不是必须的�?br>12.5.3 Form Based Authentication
web应用部��v描述文�g包含登陆表单和错误页面。登陆表单必��d��含用户名和用户密码字�D�，�q?br>两个字段必须以j_username和j_password命名。当一个用戯��讉K��一个被保护的资源时�Q�引擎就
会验证该用户信息�Q�如果该用户验证通过��׃��调用保护的资源，如果没有验证通过�Q�以下的步骤
��׃��发生�Q?br>1�Q�登陆表单被送到客户端，启动�q�个验证的URL路径��被引擎保存�?br>2�Q�用戯��要求填写用户名和密码
3�Q�客��L��重新post表单到服务端
4�Q�引擎尝试着重新去验证该用户的信�?br>5�Q�如果验证有��p�|�Q�响应被讄��?01的错误页面将被返�?br>6�Q�如果验证成功，如果该访问的资源在一个授权角色中�Q�将�q�一步验证�?br>7�Q�如果用��h��授权用户�Q�客��L��用保存的URL路径重新定向到访问的资源�?br>发送到验证��p�|的用��L��错误��面包含了失败的信息�?br>Form Based Authentication �?Basic Authentication 有一��L��弊端�Q�密码是用简单的文本传输
的，不能够被服务端验证。附加的一些协议可以增��部分功能。如HTTPS传输协议�Q�或�|��\�?br>全标准（如IPSEC协议或VPN�{�略�Q��?br>12.5.3.1 登陆表单的一些注意事��?br>登陆的表单和跟踪session的URL实现上是有限制的�?br>登陆表单只能在cookies或SSL跟踪session的方式下才能使用�?br>登陆表单要进行验证的话，表单的action��必��Mؓj_security_check。这个约束��得登陆表单访�?br>的资源没有问题，也避免了把表单外的字�D�|��交进��h��中�?br>在HTML��面中登陆表单的一个例子如下：

当登陆表单因为HTTP��h��被调用时�Q�原始的��h��参数必须被引擎存储，在验证成功后重新定向
��h��的资源�?br>如果用登陆表单的用户被验证通过�Q�创��Z��一个session,当session��时或调用了失效�Ҏ��Q��?br>登陆者推��Z��。后�l�来的请求就必须重新对用戯��行验证�?br>12.5.4 HTTPS Client Authentication
用HTTPS验证用户是很强的验证机制。这个验证需要用��h��有一个公共钥匙（PKC�Q�。servlet�?br>擎不需要支持HTTPS协议�?br>12.6 验证信息的跟�t?br>基本的��n份验证实在运行时环境中进行的�Q?br>1�Q�确认一个登陆验证机制或�{�略已经配置在web应用中�?br>2�Q�把需验证的信息发往一个容器中的所有应用�?br>3�Q�当一个安全域被删除时�Q�用��L��h��需要重新验证�?br>

�W�十三章部��v描述文�g

13.1 部��v描述元素

部��v描述文�g中的所有元素都要被所有的servlet引擎支持。配�|�类型有下面的几�U�：

.ServletContext Init Parameteres

.Session Configuration

.Servlet Declaration

.Servlet Mapping

.Application Lifecycle Listener classes

.Filter Dfinitions and Filter Mappings

.MIME Type Mappings

.Error Pages

�?span>servlet 引擎是实��C��J2EE规范的一部分的时候，安全信息才有必要在部�|�描�q�文件中定义�?/span>

部��v描述文�g不光光只支持servlet规范�Q�在部��v描述文�g��Z��适应web应用的需求增加了其他的部属描�q�元素。如�Q?/span>

.taglib

.用于查找JNDI对象的一些元素（env-entry,ejb-ref,ejb-local-ref,resource-ref,resource-env-ref�Q?/span>

13.2 处理部属描述文�g的规�?/div>

本节主要讲一�?span>web容器讉K��部属描述文�g的几�U�规则�?/span>

.web容器应该忽略部属描述文�g中数据的开始空字符和最后的�I�字�W��?/div>

.web容器应该有一个广泛的选项用户��?span>web应用的有效性。如��查web应用是否包含部��v描述文�g�Q�部属描�q�文件结构是否正��。部�|�描�q�C��应该有语义检查，如：安全规则有同��L��名字�Q�应该报错等�{��?/span>

.部��v描述中的URI是假定在URL解码表单中的

.引擎必须正确解释部属文�g中的路径�Q�如�Q��\�?span>'/a/../b'必须解释�?/b'�Q�因��\径是�?..'开始的路径在部�|�描�q�C��是无效的�?/span>

.调用资源�?span>URI与WAR的根目录兌��Q�以‘/’开�?/span>

.在一个元素中�Q�如果它的显�C�值是一个列表，则这个列表将可能会报�?/div>

13.2.1 DOCTYPE

所�?span>2.3版本的部属描�q�文件的DOCTYPE必须是：

http://java.sun.com/dtd/web-app_2_3.dtd">

13.3 DTD

web应用的部�|�描�q�文�?span>DTD如下�Q?/span>

session-config?,mime-mapping*,welcome-file-list?,error-page*,taglib*,resource-env-ref*,resource-ref*,security-constraint*,login-config?,security-role*,env-entry*,ejb-ref*,ejb-local-ref*)>

ejb-ref-name,ejb-ref-type,local-home,local,ejb-link?)>

ejb-ref-name,ejb-ref,type,home,remote,ejb-link?)>

taglib 元素用于描述JSP tag 库�?/span>

Used in : web-app

-->

13.4 例子

13.4.1 基本的例�?/div>

http://java.sun.com/j2ee/dtds/web-app_2_3.dtd">

A Simple Application

Webmaster

webmaster@mycorp.com

catalog

com.mycorp.Catalogservlet

catalog

Spring

catalog

/catalog/*

pdf

application/pdf

index.jsp

index.html

index.htm

404

/404.html

13.4.2 一个安全的例子

http://java.sun.com/j2ee/dtds/web-app_2_3.dtd">

A Secure Application

manager

catalog

com.mycorp.CatalogServlet

catalog

Spring

MGR

manager

catalog

/catalog/*

SalesInfo

/salesinfo/*

GET

POST

manager

CONFIDENTIAL

�l�尾�Q?/div>

servlet2.3到此��q��束了�Q�至于对接口�cȝ��解释。这里就不给与了。有兴趣的朋友可�?span>down一个servlet2.3的源码包自己研究研究�?/span>

朱岩 2007-08-20 17:52 发表评论

Servlet2.3中文文档(�W?�Q?�Q?0�?

朱岩 — Mon, 20 Aug 2007 09:43:00 GMT

                                                   �W�八�?Dispatching Requests
当徏立一个web应用�Ӟ��把一个请求传�l�另一个servlet或在response中包含另一个servlet的输出是�l�常
使用的。RequestDispatcher接口��提供了一些方法�?br>8.1 获得RequestDispatcher
实现了接口RequesetDispatcher接口的对象可以在ServletContext的getRequestDispatcher�?br>getNamedDispatchcer�Ҏ��得到�?br>getRequestDispatcher的参数是一个以根目�?#8216;/’开始的一个�\径，该方法会查找路径下的servlet�Q��ƈ�?br>它封装成RequestDispatchcer对象�q�回�?br>getNamedDispatcher�Ҏ��把一个ServletContext知道的servlet名字作�ؓ参数�Q�如果找到servlet�Q�该
servlet��p��装成RequestDispatcher对象�q�回�Q�如果没有找到则�q�回null�?br>RequestDispatcher对象中��用相对�\径也是可以的。在ServletRequest中提供了getRequestDispatcher
�Ҏ��Q�这个方法和ServletContext中同名的�Ҏ��功能�c�M��。servlet引擎会用request的信息把相对路径�?br>化成完整路径的。如ServleltRequest.getRequestDispatcher("header.html")和ServletConext.
getRequestDispatcher("/garden/headere.html")是等效的�?br>8.1.1 在Request Dispatcher 路径中附加字�W�串
在ServletContext和ServletRequest创徏RequestDispatcher�Ҏ��中参数都可以带字�W�串如：
Context.getRequestDispatcher("/raisons.jsp?orderno=5");
8.2 Request Dispatcher的��?br>对于使用Request Dispatcher 而言��是一个servlet调用include或forward�Ҏ��Q�这些方法的参数�?br>Servlet接口传来的request和response对象实例。引擎必��ȝ��保调用Request Dispatcher的处理过�E�是�?br>同一个JVM的同一个线�E�中�?br>8.3 include �Ҏ��
RequestDispatcher接口的include�Ҏ��可以在�Q何时候被调用�Q�目标servlet可以包含所有外的request�?br>象，不过response对象的��用是有限制的�Q?br>response只能写信息到ServletOutputStream 或者Writer中，调用response对象的flushBuffer�Ҏ��q�行�?br>交。不能够讄��头信息，��M��Ҏ��都不会媄响到response的头信息�?br>8.3.1 被包含的request参数
除了可以用getNamedDispatcher�Ҏ��包含一个servlet外，以下的属性可以被讄��Q?br>Java.servlet.include.request_uri
Java.servlet.include.context_path
Java.servlet.include.servlet_path
Java.servlet.include.path_info
Java.servlet.include.query_string
用request对象的getAttribute�Ҏ��可以获取被包含servlet的以上属性�?br>如果被包含的servlet能后通过getNamedDispatcher�Ҏ��扑ֈ��׃��必设�|�以上属性了�?br>8.4 Forward �Ҏ��
RequestDispatcher接口中的forward�Ҏ��Q�只有servlet没有提交响应到客��L��时才可用�Q�如果响�?br>buffer中有数据�q�没有提交，当调用forward�Ҏ��中目标servlet的service�Ҏ��前，buffer中的内容会被�?br>�I�；如果buffer中的数据提交了，则发生IllegalStateException错误�?br>request对象的�\径必��L��映获取RequestDispatcher对象的�\径�?br>有个例外�Q�如果RequestDispatcher是通过getNamedDispatcher�Ҏ��得到的，request对象必须反映原始
request的�\径�?br>在RequestDispatcher接口�Ҏ��forward�q�回前，response的内容必��被提交�Q��ƈ由引擎关闭该servlet�?br>8.4.1 query String
在Request Dispatcher中创建的路径是可以带参数的�?br>8.5 错误
如果request Dispatcher的目标servlet抛出�q�行旉��误或ServletException 或IOException�Q�错误就会被
传给调用的servlet�Q�在上传之到调用的servlet之前�Q�所有其他的exception都应该包装成
ServletExceptions�?br>                                                           �W�九�?web 应用
一个web应用是一堆servlet�Q�html��面�Q�类和其他资源的集合。web应用可以被发布运行在很多服务�?br>供商的多�U�引擎下�?br>9.1 web服务�?br>在web服务中一个web应用的根目录是一个特�D�的路径�Q�例如：一个网站目录可以以http://www.
mycorp.com/��d��Q�所有的��h��都将以这个作为前�~�发送到以这个前�~�描述的servletContext环境中�?br>在�Q何时候一个web应用的实例只能运行在一个JVM中�?br>9.2 和servletContext的关�p?br>servlet引擎会强�q�web应用和ServletContext的通信�Q�一个ServletContext对象提供了一个servlet使得�?br>应用可见�?br>9.3 web应用中的元素
一个web应用包含以下的元素：
.Servlets
.JSP
.Utility Classes
.Static documents(html,images,sounds,etc)
.Client side Java applets,beans,and classes
.Descriptive meta informateion
9.4 部��v层次
�q�个协议定义了一个层�ơ结构，用于部��v和打包，�q�个�l�构存在于一个文件中�?br>9.5 目录�l�构
一个web应用存在一个目录层�ơ结构。文件根目录是应用的一部分。例如：一个web应用的上下文路径
�?catalog�Q�web应用的index.html文�g��p��?catalog/index.html��h��讉K��。URL和上下文路径的匹�?br>规则��在11章讨论。servlet引擎必须拒绝一个具有现在冲�H�的上下文�\径的web应用�Q�这�U�情冉|��?br>的，如：两个web应用发布在同一个上下文路径中，或一个web应用的上下文路径是另一个web应用�?br>下文路径的子路径�?br>有一个特�D�的目录�Q?#8220;WEB-INF”�Q�在应用中存在，�q�个目录包含所有与应用相关�Q�又不在根目录中的事
物。可以直接被引擎提供�l�客��L��的文件不攑֜�WEB-INF中，但WEB-INF目录对于调用ServletContext
的getResource和getResourceAsStream�Ҏ��的servlet 代码是有效的。如果开发者想用servlet代码调用
一个不希望暴露�l�客��L��的一个配�|�信息，��可以把�q�个配置信息攑֜�WEB-INF目录下。请求都是和�?br>源相匚w��的；敏感的匹配如客户端的��h��?#8220;/WEB-INF/foo”�?#8220;/Web-iNf/foo”�Q�但不应该把定位�?
WEB-INF下的内容作�ؓ�l�果�q�回�?br>WEB-INF目录下的内容有：
./WEB-INF/web.xml 部��v描述文�g
./WEB-INF/classes/ 存放servlet class
./WEB-INF/lib/*.jar 是jar包的目录
应用的classloader先load WEB-INF/classes目录下的class后load WEB-INF/lib目录下的jar�?br>9.5.1 目录�l�构的一个例�?br>一个简单web应用的目录结构：
/index.html
/howto.jsp
/images/banner.gif
/images/jumping.gif
/WEB-INF/web.xml
/WEB-INF/lib/jspbean.jar
/WEB-INF/classes/com/mycorp/servlets/MyServlet.class
/WEB-INF/classes/com/util/MyUtils.class
9.6 web应用的存档文�?br>一个web应用可以被java打包工具打包成war文�g�Q�当被打包后包中��׃��有一个额外META-INF目录�Q�该
目录下存放了打包工具的一些信息�?br>9.7 web应用部��v描述
下面是web应用部��v描述中的配置�c�d��Q?br>.ServletContext Init Parameters
.Session Configuration
.Servlet / JSP Definitions
.Servlet / JSP Mappings
.MIME Type Mappings
.Welcome File list
.Error Pages
.Security
9.7.1 可靠的扩�?br>web容器��L��供一�U�机制��得web应用知道jar文�g中包含的有用资源或代码�?br>引擎因该提供�~�辑、配�|�库文�g的程序�?br>在WAR中提供一个MANIFEST.MF文�g�Q�描�q�扩展名列表是比较好的。标准的JAR是应该有的，�q�个文�g
描述的扩展名应该遵��@Http://java.sun.com/j2se/1.3/docs/guide/extensions/versioning.html中的�?br>定。web容器应该能够识别WEB-INF/lib文�g夹中的�Q何文件的扩展名，如果不能够识别就应该拒绝�?br>应用�E�序�Q��ƈ报出错误�?br>9.7.2 web应用的classloader
引擎用于装蝲war中的servlet的装载器必须能够让开发者装载jar库中的�Q何资源。但装蝲的资源禁止覆
盖j2se或servlet API中的�c�；通常��的做法是装蝲器不允许war中的servlet去访问web引擎中的�c�R�?br>�q�有一个被推荐的做法是实现应用�c�装载器�Q�war中被装蝲的类或资源就会被攑ֈ�container-wide JAR�?br>的特定类或资源中�?br>9.8 替换web应用
一个服务器可能会在不重新启动引擎的情况下用一个新版本的应用替换原有的应用。当一个应用被替换
�Ӟ��引擎应提供一个robust�Ҏ��M��存该应用中的session
9.9 错误句柄
9.9.1 request Attributes
web应用必须列出在��用中资源发生的错误，�q�些资源在部�|�描�q�C��都有定义�?br>如果错误在一个servlet或一个jsp��面中发生，则在�W?.1章中的如下的��h��属性就会被讄��Q?br>Request Attributes Type
Javax.servlet.error.status_code java.lang.Integer
Javax.servlet.error.exception_type java.lang.Class
Javax.servlet.error.message java.lang.String
Javax.servlet.error.exception java.lang.Throwable
Javax.servlet.error.request_uri java.lang.String
Javax.servlet.error.servlet_name java.lang.String
�q�些属性允许这个servlet�Ҏ��q�些状态码、错误类型、错误信息、被抛出的错误对象、错误��生的
servlet被访问的URI�Q�可以用getRequestURI得到�Q�、或错误产生的servlet的逻辑名称产生�Ҏ��的内
宏V�?br>�?.3版本中错误类型和错误信息属性是多余的，他们被保留只是�ؓ了向下兼容以前的版本�?br>9.9.2 错误��面
当一个servlet产生错误�Ӟ��开发者可以订刉��误内容返回给客户端。部�|�描�q�文件定义了一个错误页�?br>列表。servlet在response中设�|�错误状态码或��生的异常或错误被引擎支持�Ӟ��引擎��׃��从部�|�描�q�文
件中调用相应的配�|�的错误资源�?br>如果一个错误码被设�|�在了response中，引擎在部�|�描�q�文件的错误��面列表中用status-code方式匚w��
对应的资源，如果扑ֈ��p��用本地的资源�?br>在一个请求被处理的过�E�中servlet可以抛出以下的异常：
.runtime exceptions or errors
.ServletExceptions or subclasses thereof
.IOException or subclasses thereof
web应用可以用exception-type元素来描�q�错误页面，在这�U�情况下引擎会通过比较用exception-type�?br>素定义的error-page列表中的异常来匹配��生的异常。匹配的�l�果是返回定义的与错误匹配的本地�?br>源。在�l�承�c�M��Q�最�q�的�c�d��被调用�?br>如果没有一个error-page包含的exception-type与class-heirarchy相匹配。抛出的ServletException或其�?br>�c�d��常，被引擎通过ServletException.getRootCause�Ҏ��获得�Q�获得后用这个异常再去配�|�的error
page列表中去匚w��?br>在部�|�描�q�文件中用exception-type元素定义的Error-page中exception-type的类名必��L��唯一的�?br>当错误发生在servlet调用的RequestDispatcher中时error page机制是不能够�q�预到的�Q�这��L��情况如：
一个servlet用RequestDispatcher去调用另一个有错误的servlet�?br>如果一个servlet产生的错误没有被描述的错误页面机制所抓到�Q�引擎必��设�|�response的状态码�?00
9.10 Welcome Files
web应用可以在部�|�描�q�文件中定义一个welcome files调用的URI列表�Q�这个机制的目的是允许开发�?br>定义自己的访问首��c�?br>如果没有在部�|�描�q�C��配置welcome 文�g,引擎��把局部请求（没有指明具体讉K��资源�Q�如www.cacolg.
com/index.html,��h��讉K��时用www.cacolg.com/讉K��的）发送到适当的资源中�Q�如�Q�一个可能默认的
servlet�Q�或列出该目录下的文件列表，或返�?04响应错误�?br>一个例子：
1�Q�在部��v描述中定义index.html和default.jsp为welcome files
2�Q�定义一个servlet的mapping路径�?foo/
WAR中有的文件如下：
/foo/index.html
/foo/default.html
/foo/orderform.html
/foo/home.gif
/catalog/default.jsp
/catalog/products/shop.jsp
/catalog/products/register.jsp
3�Q�请求的URI�?处理后的URI
/foo �?/foo/ /foo/index.html
/catalog/ /catalog/default.jsp
/catalog/index.html 404 not found
/catalog/products/ 404 not found 也可能返回shop.jsp and /or register.jsp 列表�?br>9.11 web应用环境
j2EE定义的命名环境能够��得应用在不需要知道外部信息怎么命名的情况下比较方便的访问资源或外部
信息�?br>servlet作�ؓj2EE完整的一部分�Q��web应用部��v描述文�g提供了一个servlet可以讉K��资源和EJB�Q�这�?br>部��v描述元素有：
.env-entry
.ejb-ref
.ejb-local-ref
.resource-ref
.resource-env-ref
开发者��用这些元素描�q�web应用中需要用到的对象�Q�这些对象都要在web容器�q�行时注册到JNDI命名
�I�间�?br>在J2EE1.3版本j2EE的环境需求中�Q�servlet引擎不是J2EE技术的一部分�Q�web环境要提供的功能在J2EE
规范中有描述。如果没有实现支持环境所要提供的功能�Q�在发布应用�Ӟ��web容器��׃��抛出警告�?br>实现servlet引擎在J2EE中是需要的�Q�应该被�U�_��J2EE1.3中。J2EE1.3应该提供更多的内宏V�?br>servlet引擎必须支持对象的lookup�Ҏ��Q�查扑֯�象�ƈ在引擎控制的�U�程中实例化�?br>servlet引擎应该支持开发者创建的�U�程�Q�因为应用创建的�U�程不是很轻便，开开发者不得不依赖于这�?br>功能有限的线�E�。这些需求将被加入到下一个版本的servlet规范中�?br>                                                    �W�十�?应用周期事�g
10.1 介绍
事�g是servlet2.3�U�新�ȝ��内容。应用事件��得web开发者能够控制ServletContext和HttpSession对象�?br>信息交互�Q��得管理web使用的资源更有效�Q�方�ѝ�?br>10.2 事�g监听�?br>事�g监听器是实现了servlet事�g监听接口的类。在web发布是这些监听类��p��实例化和注册在web容器
中�?br>servlet事�g监听器提供了在ServletContext和HttpSerssion对象状态发生改变时触发的事件。Servlet
cotext监听器用于管理应用的资源或虚拟机的状态。HTTP session监听器管理与会话兌��的资源�?br>可以有多个监听器监听每一个事件类型。开发者可以指定引擎调用监听类的顺序�?br>10.2.1 事�g�c�d��和监听接�?br>Event Type                                   ListenerInterface                                            说明
Lifecycle                    javax.servlet.ServletContextListener                      当servlet context被创建�ƈ有效�?br>                                                                                                                接受�W�一个请或servlet context销毁前
Changes to attributees javax.servlet.ServletContextAttributesListener         当servlet context中的属性发�?br>                                                                                                                 added,removed,replaced

Lifecycle                     javax.servlet.http.HttpSessionListener                    当HttpSession被创建，无效或超�?br>Changes to attributes javax.servlet.HttpSessionAttributesListener            当属性added,removed或replaced�?br>10.2.2 一个��用监听的例子
一个简单的web应用中有servlet要访问数据库�Q�开发者提供一个context 监听�cȝ��理数据库�q�接�?br>1�Q�web应用启动�Ӟ��监听�c�被装蝲�Q�登陆数据库�Q�在servlet context中保存数据库�q�接�?br>2�Q�servlet讉K��数据库连�?br>3�Q�当web服务销毁时�Q�或应用从web服务中删除时�Q�关闭数据库�q�接�?br>10.3 监听�cȝ��配置
10.3.1 对监听类的规�?br>web开发者提供实��C��以上监听接口的类�Q�每个类应该有一个没有参数的构造器函数。监听类攑֜�
WEB-INF/classes下或以一个jar文�g攑֜�WEB-INF/lib下都可以�?br>10.3.2 部��v描述
web容器�Ҏ��个监听类只会创徏一个实例，在第一个请求到来之前实例化�q�注册。web容器注册监听�c?br>的顺序根据他们实现的接口和在部��v描述文�g中定义的��序。web应用调用监听实例的顺序按照他们注
册的��序�?br>10.3.4 在销毁时的事�?br>当应用销毁时监听事�g的执行顺序按部��v描述中的��序�Q�先执行session中的监听事�g再执行context�?br>的监听事件。session的无效事件必��d��context的销毁事件之前被调用�?br>10.4 部��v描述的例�?br>下面�l�出注册两个servlet cocntext lifecycle监听器和一个HttpSession监听器的例子�?br>Com.acme.MyconnectionManager和com.acme.MyLoggingMoudule都实��C��javax.
servletServletContextListener接口,com.acme.MyloggingModule另外�q�实��C��javax.servlet.
HttpSessionListener接口。开发者希望com.acme.MyConnectionManager在com.acme.
MyLoggingModule之前��理者servlet context 的生命周期事件。部�|�描�q�文件如下：

MyListeningApplication

com.acme.MyConnectionManager

com.acme.MyLoggingModele

RegistrationServlet
..etc

10.5 监听器的实例和线�E?br>在第一个请求被web容器接受之前实例化�ƈ注册好监听器�c�L��必须的。监听器在整个web应用生命周期
中都要��用�?br>ServletContext和HttpSession对象属性的改变可能会同时��生，引擎不需要同步这些属性类的事件�?br>10.6 分布式容器组
在分布式web容器�l�中�Q�HttpSession和ServletContext实例只活动与它们本地的JVM中。在分布式web�?br>器中�Q�监听实例会在每一个web容器中创建实例�?br>10.7 session事�g
监听器��得开发者可以跟�t�web应用中的session。知道session是否变得无效是经常被用到的，因�ؓ
session��时时引擎会使session变得无效�Q�或应用会调用invalidate�Ҏ��?br>

朱岩 2007-08-20 17:43 发表评论

Servlet2.3中文文档(�W?,7�?

朱岩 — Mon, 20 Aug 2007 09:35:00 GMT

�W�六�?br>6 Filtering
Fileter是servlet2.3新增的部分。这一章介�l�Filter�c�d��Ҏ��Q�以及在web工程中的配置�?br>6.1什么是Fileter
Filter是重复��用的�Q�用于变换HTTP��h��和响应以及头信息中的内容。Filter不能像servlet那样创徏
response响应�Q�但可以修改��h��和响应的内容�?br>6.1.1例�D一些Filter
验证Filter
登陆�Q�审核Filter
囑փ�处理Filter
数据压羃Filter
加密Filter
XSL/T Filter
MIME Filter
6.2 主要观念
开发者通过创徏实现javax.servlet.Filter接口的类�Q��ƈ提供一个没有参数的构造函数来创徏一个Filter�?br>在描�q�文件中Fileter用filter表示�Q�调用方法用filter-mapping�q�行配置�?br>6.3 Filter生命周期
在web工程发布后，在请求��引擎讉K��一个web资源之前�Q�引擎必��d��位Filter列表�Q�引擎必��ȝ��保�ؓ�?br>表中的每一个Filter建立了一个实例，�q�调用了他们的init(FilterConfig config)�Ҏ��。在�q�过�E�中可以�?br>出异常�?br>部��v描述文�g中定义的所有filter�Q�仅会在引擎中��生一个实例�?br>引擎为filter提供了一个FilterConfig�c�，该类附有ServletContext和一个带有初始化参数的set�?br>当引擎接受一个请求时�Q�引擎就会调用filter列表中第一个filter的doFilter�Ҏ��Q�把ServletRequest�Q?br>ServletResponse和FilterChain作�ؓ参数传给它�?br>filter中doFilter�Ҏ��典型的处理步骤是�Q?br>1�Q�检查请求头信息
2�Q�开发者创��Z��个实��C��ServletRequest或HttpServletRequest的类�Q�去包装request对象�Q�以
便修改请求的头信息或体数据�?br>3�Q�开发者创��Z��个实��C��ServletReqponse或HttpServletResponse的类�Q�去包装response�?br>象，以便修改��h��的头信息或体数据�?br>4)filter可以调用链中的下一个实体，下一个实体是另一个filter�Q�如果该filter是列表中最后的一
个，则它的下一个实体就是一个目标web资源。如果要调用下一个filter的doFilter�Ҏ��Q�把
request�Q�和response对象传给FilterChain对象的doFilter�Ҏ��中就可以了�?br>Filter chain 的doFilter�Ҏ��是由引擎提供的，引擎在该�Ҏ��中会定位filter列表中的下一个filter�Q?br>调用它的doFilter�Ҏ��Q�把传来的request和response对象传给它�?br>5�Q�在调用chain.doFilter之后�Q�filter可以��响应的头信�?br>6�Q�在�q�些�q�程中，filter可以抛出异常。当在调用doFilter�q�程中抛出UnavailableException异常
�Ӟ��引擎重复��试处理下面的filter chain的方法，如过时后�q�没��h��到filter chain ��׃��关闭�?br>filter chain的请求�?br>当filter是列表中最后一个filter�Ӟ��它的下一个实体是描述配置文�g中filter后面的servlet或其�?br>资源�?br>在引擎删除一个Filter之前�Q�引擎必��调用Filter的destroy�Ҏ��Q�来释放资源�?br>6.3.1 包装Requests 和Responsees
�q��o的中心观忉|��对request或response的包装，在这�U�模式下�Q�开发者不仅可以改写存在的�Ҏ��Q�还
可以创徏自己的新�Ҏ��Q�用于特�D�的�q��o��d��Q�例如：开发者希望扩展response对象�Q�希望有个更高层
�ơ的输出��对象（writer�Q��?br>��Z��支持包装模式�Q�引擎不�怿�证在整个�q��o链中�Q�传递的request和response对象都是同一个对象�?br>6.3.2 Filter的环�?br>Filter的初始参数可以在描述配置文�g中用init-params元素来配�|�，在运行时中，用FilterConfig�?br>getInitParameter和getInitParamesterNames�Ҏ��得到配置参数�?br>6.3.3 Filter在web工程中的配置
在部�|�描�q�文件中�Q?br>filter-name:filter名称
filter-class:filter�c��\�?br>init-params:用于初始化参�?br>如果开发者在部��v描述中�ؓ一个filter�c�L��q�C��两个定义�Q�则引擎会创��个filter�cȝ��两个实例�?br>下面是个配置的例�?

Image Filter
com.acme.ImageServlet

一旦filter在部�|�描�q�C��定义�Q�filter-mapping��可以被定义了，filter-mapping在web应用中是定义兌��
filter的servlet和静态资源的�?br>如：

Image Filter
ImageServlet

Image Filter �?Filter��和ImageServlet 的Servlet建立了关联�?br>Filter 可以和一��servlet和静态资源关联，用url-pattern。如�Q?br>
Loging Filter
/*

引擎建立�Ҏ��h��URI的Filter铄��序�?
1)url-pattern映射fiter-mapping的顺序和描述文�g中定义的��序是一��L��?br>2�Q�servlet-name映射filter-mapping的顺序和描述文�g中定义的��序是一��L��?br>�q�种需求要求引擎在接受��h��Ӟ��
.识别�W�合SRV.11.2规则的web资源�?br>.如果一些filter是servlet和有servlet-name的web资源匚w��的，引擎��׃��创徏一个和描述文�g�?br>映射servlet-name的顺序一��L��filter链�?br>.如果一些filter是rul-pattern兌��的，引擎��׃��创徏一个和描述文�g中映��url-pattern的顺序一
��L��efilter链�?br>一个高性能的web容器��会�~�存filter链�?br> �W�七�?Sessions
��文本传输协议（HTTP�Q�是无状态的协议。要建立一个有效的web应用�Q�客��L��之间的通信是需�?br>的。有很多会话跟踪的策略，
但是直接使用�q�些技术都很难使用。servlet规范中提供了一个简单的HttpSession接口�Q�不需要开发�?br>兛_��会话跟踪的具体细节�?br>7.1 会话跟踪机制
下面描述了几�U�会话的跟踪机制
7.1.1 Cookies
HTTP cookies是最常用的会话跟�t�机�Ӟ��所有的servlet引擎都应该支持这�U�方法�?br>引擎发送一个cookie到客��L��Q�客��L��׃��在以后的��h��中把�q�个cookie�q�回�l�服务器。用户会话跟�t?br>的cookie的名字必��L��JSESSIONID
7.1.2 SSL Sessions
在安全套接字层，加密技术用在了HTTPS协议�Q�从一个客��L��来的多个��h��允许用一个含�p�的标识�Q?br>servlet引擎��q��q�个数据定义一个Session�?br>7.1.3 URL重写
URL重写是最低性能的通用会话跟踪�Ҏ��。当一个客��L��不能接受cookie�Ӟ��URL重写��׃��作�ؓ基本�?br>会话跟踪�Ҏ��Q�URL重写包括一个附加的数据�Q�一个session id�Q�这��L��URL会被引擎解析和一个session
相关联。一个session id是作为URL的一个被�~�码的参��C��输的�Q�这个参数名字必��L��jsessionid.如下�?br>的例子：
http://www.myserver.com/catalog/index.html;jsessionid=1234
7.1.4 会话的完整�?br>一个web容器必须支持HTTP 会话。而当cookies�Ҏ��不被支持�Ӟ��通常使用URL重写�Ҏ��?br>7.2 创徏一个会�?br>servlet设计者必��考虑��C��个客��L��不能加入session的情��c�?br>7.3 会话范围
HttpSession对象只在应用�E�序�U�有效，通常用于session的cookie可以服务于不同的上下文，但一�?br>HttpSession实例只服务于一个会话。�D个例子：如一个servlet A用RequestDispatcher去调用另一个web
应用中的另一个servlet B�Q�用于A和B的会话一定是两个不同的会话�?br>7.4 Session属性的邦定
一个servlet可以通过一个name邦定一个对象到HttpSession实例中；只要获得包含同一个会话的��h��?br>象，��M��邦定��C��话中的对象在同一个ServletContext中对于其它的servlet都是可用的�?br>当把一个对象放入session或从session删除时可能要通知其它对象�Q�这些信息能够被实现�?br>HttpSessionBindingListener接口的对象获得，�q�个接口定义了一下的一些方法�?br>valueBound
valueUnbound
valueBound�Ҏ��在HttpSession接口调用getAttribute�Ҏ��获得一个有效的对象之前调用。valueUnbound
�Ҏ��在HttpSession接口调用getAttribute�Ҏ��获得一个不再有效的对象后调用�?br>7.5 会话��时

在HTTP协议中，当客��L��不再有效�Ӟ��没有清楚的定义终止信受��这��意味着通常只能采用旉��时
来表明客��L��不再有效�?br>默认的超时时间是servlet引擎定义的，通过HttpSession的getMaxInactiveInterval�Ҏ��可以得到��时�?br>旉��Q�开发者可用用setMaxInactiveInterval�Ҏ��来设�|�超时的旉��Q�以�U�定义的。如果一个session�?br>��时旉��被设�|��ؓ-1�Q�则�q�个session��永�q�有效�?br>7.6 最后访问时�?br>在当前的��h��中用HttpSession接口的getLastAccessedTime可以获得最后一�ơ访问session的时间�?br>7.7 重要session
7.7.1 �U�程问题
在一个可以配�|�的应用中，所有的��h��都是一个会话的一部分�Q�引擎一定能够取出通过setAttribute�?br>putValue攑օ�HttpSession对象中的对象。注意以下的情况�Q?br>.引擎一定能够访问实��C��Serializable接口的对象�?br>.引擎可以选择存储HttpSession对象中指定的对象�Q�如EJB�l��g和事务�?br>.引擎能够监听��C��话的变动�?br>如果攑օ�session中的对象没有被Seializable或没有效�Q�servlet可以抛出IllegalArgumentException�Q�如�?br>引擎不支持Session存储对象的机�Ӟ��引擎一定会抛出IllegalArgumentException�?br>�q�些限制意味着�Q�在一个分布式引擎中，不会有额外的�q�发问题�?br>如果引擎��Z��service的品质持�l�化或迁�U�session�Q��用本地持�l�化的HttpSession或它的属性是不受�?br>制的�Q�开发者要想确保放入session中的属性对象能够可用，最好对象实现Serializable接口�?br>在迁�U�M��个session时引擎必��通知session中实��C��HttpSessinActivationListener的属性对象，必须通知
在序列化前钝化的或序列化后激�zȝ��session的监听器�?br>开发分布式的开发者应该清楚的是，一旦引擎运行在��过一个JVM的时候，��׃��能用static 表明变量�?br>存储应用状态，应该用EJB或数据库赖存储�?br>7.7.3客户�?br>因�ؓcookies或SSL证书都是被web��览器访问过�E�控制的�Q�与��M��Ҏ��的window��览器是没有关系的�?br>所以从所有window客户端到一个servlet引擎的请求是同一个会话的一部分。最好是开发者��L��设想所
有的window客户端是一起参与同一个会话的�?/p>

朱岩 2007-08-20 17:35 发表评论

Servlet2.3中文文档(�W?,5�?

朱岩 — Mon, 20 Aug 2007 09:31:00 GMT

�W�四�?br>4 requeset
request对象包含了客��L��的所有请求信息。在HTTP协议中，客户端发送到服务端的信息都包
含在��h��的HTTP 头和消息体中
4.1 HTTP 协议的参�?br>客户端发送给servlet引擎的参数是包含在请求中的，引擎从客��L��h��的URI字符串中或POST数据中解
析出��h��的参数。参��C��name-value的�Ş式存储的。�Q何一个name可以对应多个value。在
ServletRequest接口的方法中�Q?br>getParameter
getParameterNames
getParameterValues
getParameterValues�Ҏ��q�回兌��C��个name上的一个String对象的数�l�。getParameter�q�回name�?br>应的values数组中的�W�一个value。URI和POST体中的参数都会放入请求参数的set对象中。URI中的�?br>��C��在POST体之前被引入�Q�如URI中的参数“a=hello”post体中的参数是a=goodbye&a=world,则参数set
中的内容是a=(hello,goodbye,world).以HTTP GET��h��的参数是不隐蔽的�Q�参数必��通过
getRequestURI或getPathInfo�Ҏ��获得参数字串�?br>4.1.1 参数什么时候有�?br>在post form中的数据参数被放入参数set之前的情冉|��q�样的：
1�Q�请求是一个HTTP或一个HTTPS
2�Q�HTTP�Ҏ��是POST
3�Q�内容的�c�d��是application/x-www-form-urlencoded
4�Q�初始化�q�的servlet从request对象中调用getParameter�Ҏ��Q�或getParameterNames�Q?br>getParameterValues�Q��?br>Post form 中的数据�W�合条�g的就攑օ�参数set中，不符合的��放入request对象的输入流中�?br>4.2 属�?br>request的属性是一个对象，引擎可以把API不能表达的信息放入属性中�Q�一个servlet也可以设
�|�一个属性信息用于servlet之间的通信。request对象中的属性方法有�Q?br>getAttribute
getAttributeNames
setAttribute
一个属性名�U�只能关联一个value。属性名�?#8220;java.”�?#8220;javax.”为前�~�的是规范保留的，�c�M��
�?#8220;sun.”“com.sun”是sun公司的保留字�Q�这些保留的前缀是不能��用的。name��使用�l�一�?br>包命名规范名�U��?br>4.3 �?br>servlet通过HttpServletRequest接口的方法获得HTTP的包头信息，�q�些�Ҏ��是：
getHeader
getHeaders
getHeaderNames
getHeader �Ҏ��q�回头的名称。一个名�U�可以关联多个头信息�Q�如果在�q�种情况下，getHeader
�Ҏ��q�回�W�一个头信息�?br>getHeaders�q�回与一个名�U�关联的所有头信息存放在Enumeration对象中。HttpServletRequest
提供了一些提取头信息的类型�{换方法，如：
getIntHeader 把头信息中的数据转换成int型，如果转换��p�|会报NumberFormatException�?br>误�?br>getDateHeader 把头信息中日期的数据转换成date型，如果转换��p�|会报
IllealArgumentException错误
4.4 ��h��路径
context路径�Q�这路径是和ServletContext对象兌��的，在web服务中默认的上下文�\径是�I�的�?/p>

�W�串�Q�如果上下文路径不是web服务的根目录�Q�则路径�?#8216;/’字符开始，但不能以‘/’�l�束�?br>Servlet 路径�Q�与该请求匹配的servlet的�\径。该路径�?#8216;/’字符开��_��或以‘/*’开头但后面为空�?br>丌Ӏ?br>路径信息�Q�是��h��路径的一部分�Q�但不是context路径的一部分�Q�也不是Servlet路径的一部分�Q?br>它既不�ؓnull也不是以‘/’开头的字符丌Ӏ?br>上一路径在HttpServletRequest接口中对应的�Ҏ��是：
getContextPath
getServletPath
getPathInfo
requestURI = contextPath + servletPath + pathInfo
上下文配�|�的例子�Q?br>Conteext Path /catalog
Servlet Mapping Pattern:/lawn/*
Servlet:LawnServlet
Servlet Mapping Pattern:/garden/*
Servlet:GardenServlet
Servlet Mapping Pattern:*.jsp
Servlet:JSPServlet
观察下面的�\�?br>Request path path Elements
/catalog/lawn/index.htm ContextPath:/catalog
ServletPath:/lawn
PathInfo:/index.html
/catalog/garden/implements/
ContextPath:/catalog
ServletPath:/garden
PathInfo:/implements/
/catalog/help/feedback.jsp
ContextPath:/catalog
ServletPath:/help/feedback.jsp
PathInfo:null
4.5 路径转换
在API中有两个��单的�Ҏ��允许开发者获得文件系�l�的路径�Q?br>ServletContext.getRealPath
HttpServletRequet.getPathTranslated
getRealPath(String aPath)�Ҏ��q�回本地文�g�pȝ��的绝对�\径。getPathTranslated�Ҏ��计算��
求pathInfo中的�l�对路径�?br>以上的两个方法，servlet引擎不能辨认文�g的�\径是否有效，当web应用调用一个不��定�q�程
文�g�pȝ��Q�或数据库�\径中的文件时�Q�会�q�回null
4.6 Cookies
HttpServletRequest接口中提供了getCookies�Ҏ��q�回��h��中的cookies数组�Q�在每次客户端请�?br>时cookies数据��׃��客户端发送给服务。客��L��q�还的部分cookie信息是cookie的name和cookie
的value。当cookie被送入��览器时�Q�cookie的其它信息就可以讄��了�?br>4.7 SSL 属�?br>如果一个请求被转给一个安全的协议�Q�如HTTPS�Q�这些信息必��L��露给ServletRequest接口�?br>isSecure�Ҏ��。web引擎必须把下面的信息暴露�l�servlet开发者：
Attribute Attribute Name javaType
Cipher suite javax.servlet.request.cipher_suite String
bit size of the algo-rithm javax.servlet.request.key_size Integer
如果一个SSL证书伴随着一个请求，servlet引擎必须把它作�ؓ一个数�l�对象暴露给servlet开�?br>者，该数�l�中�?br>java.security.cert.X509Certificate对象和放在ServletRequest属性中的javax.servlet.request.
X509Certificate对象�?br>数组排列的顺序是升序�Q�在链中的证书的��序��是客户端设�|�的��序�?br>4.8 国际�?br>ServletRequest接口的方法中提供了的�Ҏ��Q?br>getLocale
getLocales
getLocale�Ҏ��返回客��L��从中获得内容的首选的locale。要想知道更多的关于Accept-
Language header 怎么解释客户端首选的语言的，��L��14.4�?br>getLocales�Ҏ��q�回一个Locale objects的Enumeration,从首选的locale开始递减�?br>如果客户端没有制定首选的locale�Q�servlet引擎一定要提供一个默认的locale供getLocale�Ҏ��q?br>回，getLocales�Ҏ��必须包含一个默认的locale的locale element
4.9 Request 数据的编�?br>有许多web��览器不能发送一个编码的头内容，所以把�~�码留给解读HTTP��h��的Read��d��。对
于默认的��h��~�码�Q�引擎通常创徏一个reader�?#8220;ISO-8859-1”去解析POST的数据，如果客户�?br>没有指明�~�码�Q�或者客��L��发送失败，getCharacterEncoding�Ҏ��p��回null�?br>如果客户端没有设�|�编码，而请求需被另外一�U�编码，可用ServletRequest接口中的
setCharacterEncoding(String enc) �Ҏ��。必��d��解析post数据或读取请求流之前调用�q�些�?br>法�?br>4.10 Request对象的生命周�?br>每个request对象仅在servlet的service�Ҏ��或filter中的doFilter�Ҏ��中有效，引擎重用request�?br>象是��Z��降低创徏request对象的性能消耗�?br>开发者必��L��楚request对象在给定的范围外的一些不��定的行为�?br> �W�五�?br>response对象��装着服务端送给客户端的信息�Q�从服务端传回的信息可以包含在请求的头和消息体重�?br>5.1 �~�存
servlet引擎支持应答�~�存�Q�典型的servlet会默认的执行�~�存�Q�servlet可以指定�~�存参数�?br>讄��~�存信息的方法在ServletResponse接口中的�Ҏ��有：
getBufferSize
setBufferSize
isCommitted
Reset
resetBuffer
flushBuffer
�q�些�Ҏ��只有在servlet调用ServletOutputStream 或Writer之前有效�?br>getBufferSize�q�回�~�存的大��，如果没有�~�存�Q�该�Ҏ��q�回0�?br>setBufferSize可以讄��~�存的大��，但不是必��ȝ��。servlet会根据请求放�|�适当的缓存大��。这�?br>法必��d��servlet调用ServletOutputStream 或Writer�Ҏ��之前被调用。如果在之后调用��׃��抛出
IllegalStateException错误�?br>isCommitted�q�回一个boolen��|��标志是否有�Q何一个字节的数据被返回给客户端了。flushBuffer
�Ҏ��强制把缓存中的信息写到客��L��?br>当response没有提交�~�存内容时调用reset�Ҏ��׃��清除�~�存中的信息�Q�包括头信息和状态码�?br>resetBuffer�Ҏ��会清除缓存中的信息，但不会清除头和状态码。在commit之后调用reset�?br>resetBuffer都会抛出IllegalStateException错误�Q�缓存中的内容不受媄响�?br>使用�~�存�Ӟ��当缓存满时response��必��ȝ��d��新把�~�存中的内容发送给客户端；只要�W�一个字�?br>��C��客户端，commit的状态就为true�?br>5.2 Headers
servlet能够通过HttpServletResponse的一些方法设�|�HTTP响应的头信息�Q�这些方法有�Q?br>setHeader
addHeader
setHeader�Ҏ��会把�l�定的一个name-values攑ֈ�头信息中�Q�头信息中只能有一个name-values�Q�后�?br>setHeader会覆盖前面setHeader�Ҏ��中的内容�Q�一个name可以有多个value�?br>addHeader�Ҏ��可以增加一个value到已有的name上，如果name不同��׃��新徏一个name-values
头可以包含一些信息，如日期或数字对象�?br>以下的一些方法用适当的数据类型设�|�头信息�Q?br>setIntHeader
setDateHeader
addIntHeader
addDateHeader
在响应被发送到客户端之前，头信息是必须被设�|�的�Q�如果没有设�|�头信息�Q�servlet引擎��不会发送该
��h��到客��L��。HTTP1.1规范没有规定必须讄��响应的头信息。当�E�序员没有设�|�响应体的Content-
Type�Ӟ��servlet引擎也不需要设�|�一个默认的�c�d��?br>5.3 其他一些方�?br>HttpServletResonse接口中还有其他的一些方法：
sendRedirect
sendError
sendRedirect�Ҏ��设�|�合适的头和体信息，用于重定向客��L��到另一个URL。如果sendRedirect参数
是个相对路径�Q�则在底层servlet引擎中会把这相对路径转换成绝对�\径返回给客户端的�?br>如果相对路径不能被引擎�{换成�l�对路径��׃��抛出IllegalArgumentException错误�?br>sendError�Ҏ��会把一条错误信息作为头和体信息发送给客户端�?br>如果在调用sendRedirect或sendError之前讄��了头和体信息�Q�再调用sendRedirect或sendError�Ӟ��之前
的头和体中的数据信息都将没用�Q�不会被发送到客户端。如果��用了�~�存�Q�在调用sendRedirect�?br>sendError�Ӟ��之前的信息都��被清除。如果在commit之后调用sendRedirect或sendError��׃��抛出
IllegalStateException错误�?br>5.4 国际�?br>当客��L��用一�Ҏ��的语�a��Q�或客户端设�|�了语言�Q�发��求时�Q�servlet会设�|�相应的响应语言信息�Q?br>ServletResponse接口中设�|�响应语�a�的方法是setLocale。这个方法会讄��一个合适的Content-
Language到头信息中。最好是开发者在调用getWriter�Ҏ��之前调用setLocale�Ҏ��Q�确保返回的
PrintWriter已经被设�|�好了语�a�信息。如果在调用setLocale之后又调用了setContentType�Q�setLocale�?br>的内容将被setContentType中的字符集覆盖�?br>response默认的编码方式是“ISO-8859-1”�?br>5.5 response对象的关�?br>当response被关闭时�Q�引擎必��d��新该response�~�存中的所有内容到客户端。关闭的��序是：
1�Q�关闭servlet的service�Ҏ��
2�Q�response 中setContentLength�Ҏ��讄��的指定数量的信息被写入response
3�Q�调用sendError�Ҏ��
4�Q�调用sendRedirect�Ҏ��
5.6 response对象的生命周�?br>每个response对象仅在servlet的serrvice�Ҏ��或filter的doFilter的方法中有效。引擎重复��用reponse�?br>象，是�ؓ了降低创建response对象的开销。开发者必��L��意response对象在指定范围外可能出现的一�?br>意外的行为�?/p>

朱岩 2007-08-20 17:31 发表评论

Servlet2.3中文文档(�W?,2,3�?

朱岩 — Mon, 20 Aug 2007 09:28:00 GMT

�W�一�?/strong>
servlet2.3规范用到了一下的一些规范：J2EE、JSP1.1、JNDI
�?4章中讲述了规范中的所有的classes�c�L��接口�Q�改文中不讲�q�ͼ�。对开发者而言以下的有些相关的
协议�Q�URI、URL、HTTP/1.0、MIME、HTCPCP/1.0、XML
1.1 什么是servlet�Q?br>servlet是一个基于java技术的web�l��g�Q�该�l��g被容器管理，能被�~�译成字节码被web服务�?br>用；容器也被�U�C��为引擎，是支持servlet功能的web服务的扩展。servlet之间的通信是通过客户
端请求被引擎执行成request/response对象�q�行的�?br>1.2 什么是servlet引擎�Q?br>servlet引擎是web服务器或应用服务器的一部分�Q�服务器能够支持�|�络的请�?响应�Q�基于请�?br>解析MIME�Q�基于响应格式化MIME。servlet引擎是一个servlet容器�Q�也掌管着servlet的生命周
期�?br>所有的servlet引擎都必��L��持HTTP的请�?响应模式�Q�但HTTPS的请�?响应模式也是被支�?br>的。HTTP的版本最��要HTTP/1.0�Q�最好是HTTP/1.1。servlet引擎也具有安全和权限的一些特
性，�q�些�Ҏ��其服务器应提供�?br>1.3 例子
一个典型的事�g执行的顺序是�Q?br>1) 客户端向web服务器发起一个HTTP��h��
2) HTTP��h��被web服务器接受，�q�移交给servlet引擎�Q�servlet引擎可以在主机的
同一个进�E�、不同的�q�程或其他的web服务��L��的进�E�中启动�?br>3) servlet引擎�Ҏ��servlet的配�|�档��定调用的servlet�Q��ƈ把request对象�?br>response对象传给它�?br>4) 4�Q�servlet通过request对象知道客户端的使用者是谁，客户的请求信息是什�?br>和其他的一些信息。servlet处理完请求后把要�q�回的信息放入response对象�q�回�?br>客户�?br>5�Q?一旦servlet完成了请求的处理�Q�servlet引擎��׃��h��response�Q�把控制权返回给
web服务�?/p>

1.4与其它技术的比较
与其它服务相比servlet有以下的一些优�?br>1) �q�行速度上比CGI快，因�ؓ使用了多�U�程
2) servlet使用了标准的api�Q�可被许多web服务支持
3) 与系�l�无��x��，一�ơ编译多�ơ��?br> �W�二�?br>servlet接口是servlet api核心部分�Q�所有的servlet都是直接或间接的实现了这些接口。两个最�?br>要的servlet api 接口是GenericServlete �?HttpServlet�Q�更多的开发者都�l�承HttpServlet��d��?br>他们的servlet
2.1 Request 包含的方�?br>一个基本的servlet接口应该定义一个方法包含客��L��的信息，每次servlet引擎把一个request�?br>送到一个servlet事例�Q�这个方法都要被调用�?br>对于�q�发的请求，web应用需要设计者设计的servlet引擎能分配多个线�E�执行这个方法�?br>2.1.1 HTTP ��h��处理的方�?br>HttpServlet是实��C��Servlet接口的抽象类�Q�增加了一些新的方法，�q�些�Ҏ��在处理HTTP��h��?br>会被service�Ҏ��自动调用�Q�这些方法是�Q?br>doGet 接受 HTTP 的GET��h��
doPost 接受 HTTP 的POST��h��
doPut 接受 HTTP的PUT��h��
doDelete 接受 HTTP的DELETE��h��
doHead 接受接受 HTTP的HEAD��h��
doOptions 接受 HTTP的OPTIONS��h��
doTrace 接受 HTTP的TRACE��h��
一个开发者只会涉及到doGet和doPost�Ҏ��Q�其它的�Ҏ��是�ؓ非常熟悉HTTP的设计师准备�?/p> 2.1.2
HTTP/1.0只定义了doGet�Q�doHead�Q�doPost�Ҏ��Q�没有定义PUT�Q�DELETE�Q�OPTIOONS�?br>TRACE�Ҏ��
2.1.3
HttpServlet接口定义了getLastModified�Ҏ��
2.2 实例�?br>2.2.1
在分布式环境中servlet引擎为每个servlet只能声明一个实例，当一个servlet实现�?br>SingleThreadModel接口�Ӟ��servlet引擎可以声明多个实例��d��理请求，servlet在应用服务的�?br>�|�描�q�C��定义发布.
2.2.2单线�E�servlet
SingleThreadModel接口保证了在同一时刻一个servlet实例的service�Ҏ��只会被一个线�E�执行�?br>�q�对于每个请求发送给每个实例是很重要的。引擎可以从对象池中选择�Q�对象池可以在同一�?br>��M��持多个实例，如HttpSession可以被多个servlet在�Q何时候调用包括实��C��
SingleThreadModel接口的servlet
2.3 servlet的生命周�?br>一个好的生命周期的定义应该是servlet怎么被引入了�Q�怎么实例化的�Q�怎么初始化的�Q�当��h��从客
��L��来的时候，是怎么从服务器中取出来的，�q�些在javax.servlet.Servlet的接口的init�Q�service�Q?br>destroy�Ҏ��中都有明��的定义�?br>所有的servlet都必��d��现GenericServlet或HttpServlet抽象�c?br>2.3.1 servlet的引入和实例�?br>servlet引擎会可靠的引入和实例化servlet�Q�当servlet引擎被启动时servlet��p��引入和实例化了，
或者当一个servlet被请求时被引擎引入和实例化�?br>servlet引擎启动�Ӟ��需要装载的�c�通过java的装载类�q�行装蝲�Q�被装蝲的类可以在本地文件系
�l�、远�E�文件系�l�或�|�络服务中。在装蝲完后�Q�引擎就实例化它们�?br>2.3.2 初始�?br>在servlet对象实例化后�Q�引擎必��d��q�个servlet接受客户�D�请求之前初始化�Q�在初始化中
servlet可以��d��固定的配�|�信息，一些昂�늚�资源如数据库�q�接和一�ơ性激�zȝ��资源�Q�引擎�?br>�q�调用servlet接口的init�Ҏ��初始化。每个serlet对象都实��C��Servlet接口和ServletConfig接口,
ServletConfig接口允许servlet接受web应用配置档中配置的参敎ͼ��q�向servlet中传入了一个描�q?br>servlelt�q�行环境的类�Q�ServletContext�Q?br>2.3.2.1 在初始化时发生错�?br>在初始化�q�程中，servlet实例能抛出UnavailableException 或ServletException异常。在�q�样�?br>情况下servlet不能被放入服务中�Q�必��被引擎释放�Q�destroy�Ҏ��没有被调用。在初始化失败后
引擎可以在UnavailableException异常规定的最短无效时间后实例化新的一个实例，再初始化�?br>2.3.3 request
当servlet初始化完成后�Q�引擎可以��用它��d��理客��L��的请求了。请求被��装在Servletrequest
�c�d��的对象中�Q�响应信息被��装在ServletResponse�c�d��的对象中�Q�这两个对象以参数的形式�?br>�l�Servlet接口中的service�Ҏ��?br>2.3.3.1 多线�E�问�?br>servlet引擎可以发送�ƈ发的��h��l�servlet的service�Ҏ��Q�servlet开发者必��L��供��够的�U�程�?br>�q�行service�Ҏ��?br>对开发者来说一个可以选择的方法是实现SingleThreadModel接口�Q�以��保在同一时刻只有一�?br>��h��在service�Ҏ��中。一个引擎要��保��h��能够在servlet中持�l�化�Q�或�l�持在一个servlet实例
池中�Q�如果servlet是web应用服务的一部分�Q�引擎可以在一个虚拟机中拥有一个servlet实例化的
池�?br>对于没有实现SingleThreadModel接口的servlet�Q�如果service�Ҏ��Q�或 doGet�Q�doPost�Q�被声明
为synchronized�Q�引擎将不能用实例池的途径�Q�而必��L��l�化��h��Q�强力徏议开发者不能声�?br>synchronize service�Ҏ��Q�这样会严重影响�pȝ��的性能�?br>2.3.3.2 request中的异常
在处理请求时servlet可以抛出ServletException或UnavailableException异常�Q�一�?br>ServletException异常会在处理一个请求出现错误时抛出�Q�引擎将清除�q�个异常。当servlet一�?br>或永久地不能获得一个请求时��׃��抛出UnavailableException异常,如果是一个永久性异常时引擎
��调用它的destroy�Ҏ��从服务器中消除servlet实例�Q�如果是暂时性异常时引擎在异常期间不�?br>送请求给servlet。如果返回SERVICE_UNAVAILABLE(503)响应�Q�在�q�期间引擎将不接受�Q何请
求，直到header中出现Retry-After。引擎可以不区分�怹�性还是暂时性的异常把所有的
UnavailableException作�ؓ�怹�性处理�?br>2.3.3.3 �U�程安全
执行request和response对象不能保证是线�E�安全的�Q�意思是说他们只能在��h��的线�E�中使用�Q?br>不能被其它线�E�中的对象��用�?br>2.3.4 �l�尾
servlet实例可能被引擎保存几毫秒或和引擎一��L��生命旉��或在�q�两者之间。当引擎军_��l�束
一个servlet�Ӟ��调用它的destroy�Ҏ��Q�在destroy中释放�Q何长久固定的资源�?br>在引擎调用desroy�Ҏ��之前�Q�必��M��证运行在service�Ҏ��中的�U�程都完成处理，或者超�q�了�?br>务定义的执行旉��?br>一旦servlet实例的destroy�Ҏ��被调用，引擎不在发送�Q何请求给�q�个实例。如果引擎再�ơ��?br>�q�个servlet��必��d��Z��个这个servlet的实例�?br>在destroy�Ҏ��执行完成后，引擎��释放这个servlet实例�Q�于是就�W�合垃圾回收机制的条件了�?br> �W�三�?/strong>
3.1 介绍ServletContext接口
ServletContext接口定义了servlet�q�行环境的信息。引擎提供商有义务在servlet引擎中提供一�?br>实现了ServletContext接口的对象。通过�q�个对象servlet能够获得log事�g�Q�资源的URL�Q�设�|�或
存储servlet之间通信的变量。ServletContext在web服务中确定了一个所有请求开始的路径�Q�是
ServletContext的上下文路径�?br>3.2 ServletContext 接口的作用范�?br>每个web应用配置到容器中都会产生一个实��C��ServvletContext接口的实例。如果是分布�?br>的，��会在每个java虚拟��Z��产生一个ServletContext实例。容器中默认固有的web应用�Q�不�?br>发布上来的web应用�Q�有一个默认的ServletContext�Q�在分布式中�q�个默认的ServletContext只存
在于一个虚拟机中，是不可分配的�?br>3.3 初始化参�?br>ServletContext接口的getInitParameter,getInitParameterNames�Ҏ��接受部��v描述文�g中的初始
化参敎ͼ��q�些参数可以是的安装信息�Q�或�|�站��理员的mail或名字或对系�l�的评论�?br>3.4 上下文属�?br>servlet可以通过一个名�U�把对象邦定到servletContext中，帮定到ServletContext中的对象都能�?br>同一个web服务中的其它对象引用。ServletContext中的属性方法有�Q?br>setAttribute
getAttribute
getAttributeNames
removeAttribute
3.4.1 在分布式�pȝ��?上下文的属�?br>上下文属性是在本地的虚拟��Z��保存的，�q�防止了ServletContext属性存在于分布式的内存中�?br>当信息需要在一个分布式环境中共享的时候，信息应该被放在session中，或存在数据库中，�?br>存在一个实体bean中�?br>3.5 资源
ServletContext接口提供了获取web服务中的静态资源的�Ҏ��Q?br>getResource
getResourceAsStream
�q�些�Ҏ��以一�?#8220;/”作�ؓ上下文的根目录，后跟着资源路径的�\径�ؓ参数。这些资源可以在本地
服务�pȝ��中也可以在另个web应用中，或在一个远�E�的文�g�pȝ��中�?br>�q�些�Ҏ��不能用于去获得一个动态的资源�Q�如要调用一个jsp��面�Q�getResource("/index.jsp")��?br>�q�回index.jsp的原代码�Q�不能web昄��index.jsp�?br>要获得资源列表可以用getResourcePaths(String path)�Ҏ��
3.6 多主�?�?Servlet 上下�?br>web服务中可能在一个IP上有多个逻辑��L��的情��c��在�q�种情况下每个逻辑��L��必须有自己单
独的servlet上下文，或者设�|�多个servlet 上下文，但在逻辑��L��中不能共享这些servlet 上下
文，一个主机只能单独��用一个�?br>3.7
引擎提供�c�重新装载机制是必须的，必须��认应用中所有的�c�d��接口都可以在单类装蝲器中
装蝲�Q�在session�l�定监听事�g中引擎会�l�止正在装在的类。以前版本的装蝲器，引擎创徏一
个新的装载器装蝲一个servlet或class和类装蝲器装载其他的servlet或类截然不同�Q�这可能�?br>载一个未知的�c�L��对象�Q��生不可预知的行�ؓ。这是新的类装蝲器中是应该注意预防的�?br>题�?br>3.7.1 临时工作目录
Servlet 上下文需要一个��时存储的目录。servlet引擎必须为每个servlet 上下文提供一个私有��
时目录，通过javax.servlet.context.tempdir的context属性��目录有效。与该属性关联的对象�?br>��L��java.io.File�c�d��?br>在许多servlet引擎实现中提供请求可以识别的通用的机制�?br>当servlet引擎重�v始不必维护��时目录中的内容，但要��保临时目录中的该上下文内容对于�q?br>行在该servlet引擎中的其它web应用中的servlet 上下文是不可见的�?

朱岩 2007-08-20 17:28 发表评论

朱岩 — Tue, 27 Mar 2007 13:08:00 GMT
form:javaresearch
1 定义头和根元�?br>
部��v描述�W�文件就像所有XML文�g一��P��必须以一个XML头开始。这个头声明可以使用的XML版本�q�给出文件的字符�~�码�?br>DOCYTPE声明必须立即出现在此头之后。这个声明告诉服务器适用的servlet规范的版本（�?.2�?.3�Q��ƈ指定��理此文件其余部分内容的语法的DTD(Document Type Definition�Q�文档类型定�?�?br>所有部�|�描�q�符文�g的顶层（根）元素为web-app。请注意�Q�XML元素不像HTML�Q�他们是大小写敏感的。因此，web-App和WEB-APP都是不合法的�Q�web-app必须用小写�?br>
2 部��v描述�W�文件内的元素次�?br>
XML 元素不仅是大��写敏感的，而且它们�q�对出现在其他元素中的次序敏感。例如，XML头必��L��文�g中的�W�一��，DOCTYPE声明必须是第二项�Q�而web- app元素必须是第三项。在web-app元素内，元素的次序也很重要。服务器不一定强制要求这�U�次序，但它们允许（实际上有些服务器��是�q�样做的�Q�完全拒�l�执行含有次序不正确的元素的Web应用。这表示使用非标准元素次序的web.xml文�g是不可移植的�?br>下面的列表给��Z��所有可直接出现在web-app元素内的合法元素所必需的次序。例如，此列表说明servlet元素必须出现在所有servlet-mapping元素之前。请注意�Q�所有这些元素都是可选的。因此，可以省略掉某一元素�Q�但不能把它放于不正��的位置�?br>l icon icon元素指出IDE和GUI工具用来表示Web应用的一个和两个囑փ�文�g的位�|��?br>l display-name display-name元素提供GUI工具可能会用来标记这个特定的Web应用的一个名�U��?br>l description description元素�l�出与此有关的说明性文本�?br>l context-param context-param元素声明应用范围内的初始化参数�?br>l filter �q��o器元素将一个名字与一个实现javax.servlet.Filter接口的类相关联�?br>l filter-mapping 一旦命名了一个过滤器�Q�就要利用filter-mapping元素把它与一个或多个servlet或JSP��面相关联�?br>l listener servlet API的版�?.3增加了对事�g监听�E�序的支持，事�g监听�E�序在徏立、修改和删除会话或servlet环境时得到通知。Listener元素指出事�g监听�E�序�c�R�?br>l servlet 在向servlet或JSP��面制定初始化参数或定制URL�Ӟ��必须首先命名servlet或JSP��面。Servlet元素��是用来完成此项��d��的�?br>l servlet-mapping 服务器一般�ؓservlet提供一个缺省的URL�Q�http://host/webAppPrefix/servlet/ServletName。但是，常常会更改这个URL�Q�以便servlet可以讉K��初始化参数或更容易地处理相对URL。在更改�~�省URL�Ӟ��使用servlet-mapping元素�?br>l session -config 如果某个会话在一定时间内未被讉K��Q�服务器可以抛弃它以节省内存。可通过使用HttpSession�?setMaxInactiveInterval�Ҏ��明确讄��单个会话对象的超时��|��或者可利用session-config元素制定�~�省��时倹{�?br>l mime-mapping 如果Web应用��h��惛_��Ҏ��的文�Ӟ��希望能保证给他们分配特定的MIME�c�d��Q�则mime-mapping元素提供�q�种保证�?br>l welcom-file-list welcome-file-list元素指示服务器在收到引用一个目录名而不是文件名的URL�Ӟ��使用哪个文�g�?br>l error-page error-page元素使得在返回特定HTTP状态代码时�Q�或者特定类型的异常被抛出时�Q�能够制定将要显�C�的��面�?br>l taglib taglib元素�Ҏ��记库描述�W�文�Ӟ��Tag Libraryu Descriptor file�Q�指定别名。此功能使你能够更改TLD文�g的位�|�，而不用编辑��用这些文件的JSP��面�?br>l resource-env-ref resource-env-ref元素声明与资源相关的一个管理对象�?br>l resource-ref resource-ref元素声明一个资源工厂��用的外部资源�?br>l security-constraint security-constraint元素制定应该保护的URL。它与login-config元素联合使用
l login-config 用login-config元素来指定服务器应该怎样�l�试图访问受保护��面的用��h��权。它与sercurity-constraint元素联合使用�?br>l security-role security-role元素�l�出安全角色的一个列表，�q�些角色��出现在servlet元素内的security-role-ref元素的role-name子元素中。分别地声明角色可��高��IDE处理安全信息更�ؓ�Ҏ��?br>l env-entry env-entry元素声明Web应用的环境项�?br>l ejb-ref ejb-ref元素声明一个EJB的主目录的引用�?br>l ejb-local-ref ejb-local-ref元素声明一个EJB的本��C��目录的应用�?br>
3 分配名称和定制的UL

在web.xml中完成的一个最常见的�Q务是对servlet或JSP��面�l�出名称和定制的URL。用servlet元素分配名称�Q��用servlet-mapping元素��定制的URL与刚分配的名�U�相兌��?br>3.1 分配名称
��Z��提供初始化参敎ͼ�对servlet或JSP��面定义一个定制URL或分配一个安全角�Ԍ��必须首先�l�servlet或JSP��面一个名�U�。可通过 servlet元素分配一个名�U�。最常见的格式包括servlet-name和servlet-class子元素（在web-app元素内）�Q�如下所�C�：

Test
moreservlets.TestServlet

�q�表�C�Z��于WEB-INF/classes/moreservlets/TestServlet的servlet已经得到了注册名Test。给 servlet一个名�U�具有两个主要的含义。首先，初始化参数、定制的URL模式以及其他定制通过此注册名而不是类名引用此servlet。其��?可在 URL而不是类名中使用此名�U�。因此，利用刚才�l�出的定义，URL http://host/webAppPrefix/servlet/Test 可用�?http://host/webAppPrefix/servlet/moreservlets.TestServlet 的场所�?br>误��住：XML元素不仅是大��写敏感的，而且定义它们的次序也很重要。例如，web-app元素内所有servlet元素必须位于所有servlet- mapping元素�Q�下一��节介绍�Q�之前，而且�q�要位于5.6节和5.11节讨论的与过滤器或文档相关的元素�Q�如果有的话�Q�之前。类似地�Q?servlet 的servlet-name子元素也必须出现在servlet-class之前�?.2�?部��v描述�W�文件内的元素次�?��详�l�介�l�这�U�必需的次序�?br>例如�Q�程序清�?-1�l�出了一个名为TestServlet的简单servlet�Q�它�ȝ��在moreservlets�E�序包中。因为此servlet是扎根在一个名为deployDemo的目录中的Web应用的组成部分，所以TestServlet.class攑֜� deployDemo/WEB- INF/classes/moreservlets中。程序清�?-2�l�出��放�|�在deployDemo/WEB- INF/内的web.xml文�g的一部分。此web.xml文�g使用servlet-name和servlet-class元素��名�U�Test�?TestServlet.class相关联。图 5-1和图5-2分别昄��利用�~�省URL和注册名调用TestServlet时的�l�果�?br>
�E�序清单5-1 TestServlet.java
package moreservlets;

import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;

/** Simple servlet used to illustrate servlet naming
* and custom URLs.
*

* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/

public class TestServlet extends HttpServlet {
public void doGet(HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html");
PrintWriter out = response.getWriter();
String uri = request.getRequestURI();
out.println(ServletUtilities.headWithTitle("Test Servlet") +
"\n" +
"

URI: " + uri + "
\n" +
"");
}
}

�E�序清单5-2 web.xml�Q�说明servlet名称的摘录）

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">

Test
moreservlets.TestServlet

3.2 定义定制的URL
大多数服务器��h��一个缺省的serlvet URL�Q?br>http: //host/webAppPrefix/servlet/packageName.ServletName。虽然在开发中使用�q�个URL很方便，但是我们常常会希望另一个URL用于部��v。例如，可能会需要一个出现在Web应用��层的URL�Q�如�Q�http: //host/webAppPrefix/Anyname�Q�，�q�且在此URL中没有servlet��V��位于顶层的URL��化了相对URL的��用。此外，对许多开发�h员来��_��层URL看上��L��更长更麻烦的�~�省URL更简短�?br>事实上，有时需要��用定制的URL。比如，你可能想关闭�~�省URL映射�Q�以便更好地强制实施安全限制或防止用��h��外地讉K��无初始化参数的servlet。如果你��止了缺省的URL�Q�那么你怎样讉K��servlet呢？�q�时只有使用定制的URL了�?br>��Z��分配一个定制的URL�Q�可使用servlet-mapping元素及其servlet-name和url-pattern子元素。Servlet- name元素提供了一个�Q意名�U�ͼ�可利用此名称引用相应的servlet�Q�url-pattern描述了相对于Web应用的根目录的URL。url- pattern元素的值必��M��斜杠�Q?�Q��v始�?br>下面�l�出一个简单的web.xml摘录�Q�它允许使用URL

URI: <%= request.getRequestURI() %>

�E�序清单5-4 web.xml�Q�说明JSP��命名的摘录�Q?br>
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">

PageName
/TestPage.jsp

PageName
/UrlTest2/*

4 ��止�Ȁ�z�d��servlet

对servlet 或JSP��面建立定制URL的一个原因是�Q�这样做可以注册�?init�Q�servlet�Q�或jspInit�Q�JSP��面�Q�方法中��d��得初始化参数。但是，初始化参数只在是利用定制URL模式或注册名讉K�� servlet或JSP��面时可以��用，用缺省URL http: //host/webAppPrefix/servlet/ServletName 讉K��时不能��用。因此，你可能会希望关闭�~�省URL�Q�这样就不会有�h意外地调用初始化servlet了。这个过�E�有时称为禁止激�z�d��servlet�Q�因为多数服务器��h��一个用�~�省的servlet URL注册的标�?servlet�Q��ƈ�Ȁ�zȝ��省的URL应用的实际servlet�?br>有两�U�禁止此�~�省URL的主要方法：
l 在每个Web应用中重新映��?servlet/模式�?br>l 全局关闭�Ȁ�z�d��servlet�?br>重要的是应该注意刎ͼ�虽然重新映射每个Web应用中的/servlet/模式比彻底禁止激�z�servlet所做的工作更多�Q�但重新映射可以用一�U�完全可�U�L��的方式来完成。相反，全局��止�Ȁ�z�d��servlet完全是针对具体机器的�Q�事实上有的服务器（如ServletExec�Q�没有这��L��选择。下面的讨论�Ҏ��个Web应用重新映射/servlet/ URL模式的策略。后面提供在Tomcat中全局��止�Ȁ�z�d��servlet的详�l�内宏V�?br>4.1 重新映射/servlet/URL模式
在一个特定的Web应用中禁止以http://host/webAppPrefix/servlet/ 开始的URL的处理非常简单。所需做的事情��是建立一个错误消息servlet�Q��ƈ使用前一节讨论的url-pattern元素��所有匹配请求�{向该 servlet。只要简单地使用�Q?br>/servlet/*
作�ؓservlet-mapping元素中的模式卛_��?br>例如�Q�程序清�?-5�l�出了将SorryServlet servlet�Q�程序清�?-6�Q�与所有以http://host/webAppPrefix/servlet/ 开头的URL相关联的部��v描述�W�文件的一部分�?br>
�E�序清单5-5 web.xml�Q�说明JSP��命名的摘录�Q?br>
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">

Sorry
moreservlets.SorryServlet

Sorry
/servlet/*

�E�序清单5-6 SorryServlet.java
package moreservlets;

import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;

/** Simple servlet used to give error messages to
* users who try to access default servlet URLs
* (i.e., http://host/webAppPrefix/servlet/ServletName)
* in Web applications that have disabled this
* behavior.
*

* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/

public class SorryServlet extends HttpServlet {
public void doGet(HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html");
PrintWriter out = response.getWriter();
String title = "Invoker Servlet Disabled.";
out.println(ServletUtilities.headWithTitle(title) +
"\n" +
"

" + title + "
\n" +
"Sorry, access to servlets by means of\n" +
"URLs that begin with\n" +
"http://host/webAppPrefix/servlet/\n" +
"has been disabled.\n" +
"");
}

public void doPost(HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
doGet(request, response);
}
}

4.2 全局��止�Ȁ�z�d��Q�Tomcat
Tomcat 4中用来关闭缺省URL的方法与Tomcat 3中所用的很不相同。下面介�l�这两种�Ҏ��Q?br>1�Q�禁止激�z�d��Q?Tomcat 4
Tomcat 4 用与前面相同的方法关闭激�z�d��servlet�Q�即利用web.xml中的url-mapping元素�q�行关闭。不同之处在于Tomcat使用了放�?install_dir/conf中的一个服务器专用的全局web.xml文�g�Q�而前面��用的是存攑֜�每个Web应用的WEB-INF目录中的标准 web.xml文�g�?br>因此�Q��ؓ了在Tomcat 4中关闭激�z�d��servlet�Q�只需在install_dir/conf/web.xml中简单地注释�?servlet/* URL映射��即可，如下所�C�：

再次提醒�Q�应该注意这个项是位于存攑֜�install_dir/conf的Tomcat专用的web.xml文�g中的�Q�此文�g不是存放在每个Web应用的WEB-INF目录中的标准web.xml�?br>2�Q�禁止激�z�d��Q�Tomcat3
在Apache Tomcat 的版�?中，通过在install_dir/conf/server.xml中注释出InvokerInterceptor��全局��止�~�省 servlet URL。例如，下面是禁止��用缺省servlet URL的server.xml文�g的一部分�?br>

5 初始化和预装载servlet与JSP��面

�q�里讨论控制servlet和JSP��面的启动行为的�Ҏ��。特别是�Q�说明了怎样分配初始化参��C��及怎样更改服务器生存期中装载servlet和JSP��面的时刅R�?br>5.1 分配servlet初始化参�?br>利用init-param元素向servlet提供初始化参敎ͼ�init-param元素��h��param-name和param-value子元素。例如，在下面的例子中，如果initServlet servlet是利用它的注册名�Q�InitTest�Q�访问的�Q�它��能够从其方法中调用 getServletConfig(). getInitParameter("param1")获得"Value 1"�Q�调�?getServletConfig().getInitParameter("param2")获得"2"�?br>
InitTest
moreservlets.InitServlet

param1
value1

param2
2

在涉及初始化参数�Ӟ��有几炚w��要注意：
l �q�回倹{��GetInitParameter的返回值��L��一个String。因此，在前一个例子中�Q�可对param2使用Integer.parseInt获得一个int�?br>l JSP中的初始化。JSP��面使用jspInit而不是init。JSP��面�q�需要��用jsp-file元素代替servlet-class�?br>l �~�省URL。初始化参数只在通过它们的注册名或与它们注册名相关的定制URL模式讉K��Servlet时可以��用。因此，在这个例子中�Q�param1�?param2初始化参数将能够在��用URL http://host/webAppPrefix/servlet/InitTest 时可用，但在使用 URL http://host/webAppPrefix/servlet/myPackage.InitServlet 时不能��用�?br>例如�Q�程序清�?-7�l�出一个名为InitServlet的简单servlet�Q�它使用init�Ҏ��讄��firstName和emailAddress字段。程序清�?-8�l�出分配名称InitTest�l�servlet的web.xml文�g�?br>�E�序清单5-7 InitServlet.java
package moreservlets;

import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;

/** Simple servlet used to illustrate servlet
* initialization parameters.
*

* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/

public class InitServlet extends HttpServlet {
private String firstName, emailAddress;

public void init() {
ServletConfig config = getServletConfig();
firstName = config.getInitParameter("firstName");
emailAddress = config.getInitParameter("emailAddress");
}

public void doGet(HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html");
PrintWriter out = response.getWriter();
String uri = request.getRequestURI();
out.println(ServletUtilities.headWithTitle("Init Servlet") +
"\n" +
"

Init Parameters:
\n" +
"
\n" +
"
First name: " + firstName + "\n" +
"
Email address: " + emailAddress + "\n" +
"

\n" +
"");
}
}

�E�序清单5-8 web.xml�Q�说明初始化参数的摘录）

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">

InitTest
moreservlets.InitServlet

firstName
Larry

emailAddress
Ellison@Microsoft.com

5.2 分配JSP初始化参�?br>�l�JSP��面提供初始化参数在三个斚w��不同于给servlet提供初始化参数�?br>1�Q��用jsp-file而不是servlet-class。因此，WEB-INF/web.xml文�g的servlet元素如下所�C�：

PageName
/RealPage.jsp

...
...

...

2) 几乎��L��分配一个明��的URL模式。对servlet�Q�一般相应地使用以http://host/webAppPrefix/servlet/ 开始的�~�省URL。只需��C��Q��用注册名而不是原名称卛_��。这对于JSP��面在技术上也是合法的。例如，在上面给出的例子中，可用URL http: //host/webAppPrefix/servlet/PageName 讉K��RealPage.jsp的对初始化参数具有访问权的版本。但在用�?JSP��面�Ӟ��许多用户��g��不喜�Ƣ应用常规的servlet的URL。此外，如果 JSP��面位于服务器�ؓ其提供了目录清单的目录中�Q�如�Q�一个既没有 index.html也没有index.jsp文�g的目录）�Q�则用户可能会连接到�?JSP��面�Q�单��d��Q�从而意外地�Ȁ�z�L��初始化的��面。因此，好的办法是��用url-pattern�Q?.3节）��JSP��面的原URL与注册的 servlet名相兌��。这��P��客户机可使用JSP��面的普通名�U�ͼ�但仍然激�z�d��制的版本。例如，�l�定来自��目1的servlet定义�Q�可使用下面�?servlet-mapping定义�Q?br>
PageName
/RealPage.jsp

3�Q�JSP��用jspInit而不是init。自动从JSP��面建立的servlet或许已经使用了inti�Ҏ��。因此，使用JSP声明提供一个init�Ҏ��是不合法的，必须制定jspInit�Ҏ��?br>��Z��说明初始化JSP��面的过�E�，�E�序清单5-9�l�出了一个名为InitPage.jsp的JSP��面�Q�它包含一个jspInit�Ҏ��且放�|�于 deployDemo Web应用层次�l�构的顶层。一般，http://host/deployDemo/InitPage.jsp 形式的URL��激�z�L��面的不��h��初始化参数访问权的版本，从而将对firstName和emailAddress变量昄��null。但是， web.xml文�g�Q�程序清�?-10�Q�分配了一个注册名�Q�然后将该注册名与URL模式/InitPage.jsp相关联�?br>
�E�序清单5-9 InitPage.jsp

Init Parameters:

First name: <%= firstName %>

Email address: <%= emailAddress %>

<%!
private String firstName, emailAddress;

public void jspInit() {
ServletConfig config = getServletConfig();
firstName = config.getInitParameter("firstName");
emailAddress = config.getInitParameter("emailAddress");
}
%>

�E�序清单5-10 web.xml�Q�说明JSP��面的init参数的摘录）

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">

InitPage
/InitPage.jsp

firstName
Bill

emailAddress
gates@oracle.com

InitPage
/InitPage.jsp

5.3 提供应用范围内的初始化参�?br>一般，对单个地servlet或JSP��面分配初始化参数。指定的servlet或JSP��面利用ServletConfig�?getInitParameter�Ҏ��d��q�些参数。但是，在某些情形下�Q�希望提供可�׃�Q意servlet或JSP��面借助ServletContext 的getInitParameter�Ҏ��d��的系�l�范围内的初始化参数�?br>可利用context-param元素声明�q�些�pȝ��范围内的初始化倹{��context-param元素应该包含param-name、param-value以及可选的description子元素，如下所�C�：

support-email
blackhole@mycompany.com

可回忆一下，��Z��保证可移植性，web.xml内的元素必须以正��的�ơ序声明。但�q�里应该注意�Q�context-param元素必须出现��L��与文档有关的元素�Q�icon、display-name或description�Q�之后及filter、filter-mapping、listener�?servlet元素之前�?br>5.4 在服务器启动时装载servlet
假如servlet或JSP��面有一个要花很长时间执行的 init �Q�servlet�Q�或jspInit�Q�JSP�Q�方法。例如，假如init或jspInit�Ҏ��从某个数据库或ResourceBundle查找产量。这�U�情况下�Q�在�W�一个客��h��h��时装载servlet的缺省行为将对第一个客��h��产生较长旉��的�g�q�。因此，可利用servlet的load-on - startup元素规定服务器在�W�一�ơ启动时装蝲servlet。下面是一个例子�?br>
…
…

可以为此元素体提供一个整数而不是��用一个空的load-on-startup。想法是服务器应该在装蝲较大数目的servlet或JSP��面之前装蝲较少数目的servlet或JSP��面。例如，下面的servlet��（攄��在Web应用的WEB-INF目录下的web.xml文�g中的web-app元素内）��指�C�服务器首先装蝲和初始化SearchServlet�Q�然后装载和初始化由位于Web应用的result目录中的index.jsp文�g产生�?servlet�?br>
Search
myPackage.SearchServlet
1

Results
/results/index.jsp
2

6 声明�q��o�?br>
servlet版本2.3引入了过滤器的概��c��虽然所有支持servlet API版本2.3的服务器都支持过滤器�Q�但��Z��使用与过滤器有关的元素，必须在web.xml中��用版�?.3的DTD�?br>�q��o器可截取和修改进入一个servlet或JSP��面的请求或从一个servlet或JSP��面发出的相应。在执行一个servlet或JSP��面之前�Q�必��L��行第一个相关的�q��o器的doFilter�Ҏ��。在该过滤器对其FilterChain对象调用doFilter�Ӟ��执行链中的下一个过滤器。如果没有其他过滤器�Q�servlet或JSP��面被执行。过滤器��h��对到来的ServletRequest对象的全部访问权�Q�因此，它们可以查看客户机名、查扑ֈ�来的cookie�{�。�ؓ了访问servlet或JSP��面的输出，�q��o器可��响应对象包裹在一个替�w�对象（stand-in object�Q�中�Q�比方说把输出篏加到一个缓冲区。在调用FilterChain对象的doFilter�Ҏ��之后�Q�过滤器可检查缓冲区�Q�如有必要，��对它进行修改，然后传送到客户机�?br>例如�Q�程序清�?-11帝国难以了一个简单的�q��o器，只要讉K��相关的servlet或JSP��面�Q�它��截取请求�ƈ在标准输��Z��打印一个报告（开发过�E�中在桌面系�l�上�q�行�Ӟ��大多数服务器都可以��用这个过滤器�Q��?br>
�E�序清单5-11 ReportFilter.java
package moreservlets;

import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
import java.util.*;

/** Simple filter that prints a report on the standard output
* whenever the associated servlet or JSP page is accessed.
*

* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/

public class ReportFilter implements Filter {
public void doFilter(ServletRequest request,
ServletResponse response,
FilterChain chain)
throws ServletException, IOException {
HttpServletRequest req = (HttpServletRequest)request;
System.out.println(req.getRemoteHost() +
" tried to access " +
req.getRequestURL() +
" on " + new Date() + ".");
chain.doFilter(request,response);
}

public void init(FilterConfig config)
throws ServletException {
}

public void destroy() {}
}

一旦徏立了一个过滤器�Q�可以在web.xml中利用filter元素以及filter-name�Q��Q意名�U�ͼ�、file-class�Q�完全限定的�c�d��Q�和�Q�可选的�Q�init-params子元素声明它。请注意�Q�元素在web.xml的web-app元素中出现的�ơ序不是��L��的；允许服务器（但不是必需的）强制所需的次序，�q�且实际中有些服务器也是�q�样做的。但�q�里要注意，所有filter元素必须出现在�Q意filter-mapping元素之前�Q?filter-mapping元素又必��d��现在所有servlet或servlet-mapping元素之前�?br>例如�Q�给定上�q�的ReportFilter�c�，可在web.xml中作��Z��面的filter声明。它把名�U�Reporter与实际的�c�ReportFilter�Q�位于moreservlets�E�序包中�Q�相兌��?br>
Reporter
moresevlets.ReportFilter

一旦命名了一个过滤器�Q�可利用filter-mapping元素把它与一个或多个servlet或JSP��面相关联。关于此��工作有两种选择�?br>首先�Q�可使用filter-name和servlet-name子元素把此过滤器与一个特定的servlet名（此servlet名必��ȝ��后在相同�?web.xml文�g中��用servlet元素声明�Q�关联。例如，下面的程序片断指�C�系�l�只要利用一个定制的URL讉K��名�ؓ SomeServletName 的servlet或JSP��面�Q�就�q�行名�ؓReporter的过滤器�?br>
Reporter
SomeServletName

其次�Q�可利用filter-name和url-pattern子元素将�q��o器与一�l�servlet、JSP��面或静态内容相兌��。例如，盔R��的程序片�D�|��C�系�l�只要访问Web应用中的��L��URL�Q�就�q�行名�ؓReporter的过滤器�?br>
Reporter
/*

例如�Q�程序清�?-12�l�出了将ReportFilter�q��o器与名�ؓPageName的servlet相关联的web.xml文�g的一部分。名�?PageName依次又与一个名为TestPage.jsp的JSP��面以及以模式http: //host/webAppPrefix/UrlTest2/ 开头的URL相关联。TestPage.jsp的源代码已经JSP��面命名的谈论在前面�?�?分配名称和定制的URL"中给出。事实上�Q�程序清�?- 12中的servlet和servlet-name��从该节原封不动地拿�q�来的。给定这些web.xml��，可看��C��面的标准输出形式的调试报告（换行是�ؓ了容易阅读）�?br>audit.irs.gov tried to access
http://mycompany.com/deployDemo/UrlTest2/business/tax-plan.html
on Tue Dec 25 13:12:29 EDT 2001.

�E�序清单5-12 Web.xml�Q�说明filter用法的摘录）

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">

Reporter
moresevlets.ReportFilter

Reporter
PageName

PageName
/RealPage.jsp

PageName
/UrlTest2/*

7 指定�Ƣ迎��?br>
假如用户提供了一个像http: //host/webAppPrefix/directoryName/ �q�样的包含一个目录名但没有包含文件名�?URL�Q�会发生什么事情呢�Q�用戯��得到一个目录表�Q�一个错误？�q�是标准文�g的内容？如果得到标准文�g内容�Q�是 index.html�?index.jsp、default.html、default.htm或别的什么东西呢�Q?br>Welcome-file-list 元素及其辅助�?welcome-file元素解决了这个模�p�的问题。例如，下面的web.xml��Ҏ��出，如果一个URL�l�出一个目录名但未�l�出文�g名，服务器应该首先试用index.jsp�Q�然后再试用index.html。如果两者都没有扑ֈ��Q�则�l�果有赖于所用的服务器（如一个目录列表）�?br>
index.jsp
index.html

虽然许多服务器缺省遵循这�U�行为，但不一定必��这栗��因此，明确��C��用welcom-file-list保证可移植性是一�U�良好的习惯�?br>
8 指定处理错误的页�?br>
现在我了解到�Q�你在开发servlet和JSP��面时从不会犯错误，而且你的所有页面是那样的清晎ͼ�一般的�E�序员都不会被它们的搞糊涂。但是，是�h��M��犯错误的�Q�用户可能会提供不合规定的参敎ͼ�使用不正��的URL或者不能提供必需的表单字�D�倹{��除此之外，其它开发�h员可能不那么�l�心�Q�他们应该有些工��h��克服自己的不��?br>error-page元素��是用来克服�q�些问题的。它有两个可能的子元素，分别是：error-code和exception- type。第一个子元素error-code指出在给定的HTTP错误代码出现时��用的URL。第二个子元素excpetion-type指出在出现某个给定的Java异常但未捕捉到时使用的URL。error-code和exception-type都利用location元素指出相应的URL。此 URL必须�?开始。location所指出的位�|�处的页面可通过查找HttpServletRequest对象的两个专门的属性来讉K��关于错误的信息，�q�两个属性分别是�Q�javax.servlet.error.status_code和javax.servlet.error.message�?br>可回忆一下，在web.xml内以正确的次序声明web-app的子元素很重要。这里只要记住，error-page出现在web.xml文�g的末��N��q�，servlet、servlet-name和welcome-file-list之后卛_��?br>
8.1 error-code元素
��Z��更好��C��解error-code元素的��|��可考虑一下如果不正确地输入文件名�Q�大多数站点会作��Z��么反映。这样做一般会出现一�?04错误信息�Q�它表示不能扑ֈ�该文�Ӟ��但几乎没提供更多有用的信息。另一斚w��Q�可以试一下在www.microsoft.com、www.ibm.com 处或者特别是�?www.bea.com 处输出未知的文�g名。这是会得出有用的消息，�q�些消息提供可选择的位�|�，以便查找感兴��的��面。提供这��h��用的错误��面对于 Web应用来说是很有�h值得。事实上rm-error-page子元素）。由form-login-page�l�出的HTML表单必须��h��一�?j_security_check�?ACTION属性、一个名为j_username的用户名文本字段以及一个名为j_password的口令字�D�c�?br>例如�Q�程序清�?-19指示服务器��用基于表单的验证。Web应用的顶层目录中的一个名为login.jsp的页面将攉��用户名和口��o�Q��ƈ且失败的登陆��由相同目录中名为login-error.jsp的页面报告�?br>
�E�序清单5-19 web.xml�Q�说明login-config的摘录）

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">

...

FORM

/login.jsp
/login-error.jsp

9.2 限制对Web资源的访�?br>现在�Q�可以指�C�服务器使用何种验证�Ҏ��了�?了不��P��"你说道，"除非我能指定一个来收到保护�?URL�Q�否则没有多大用处�?没错。指��些URL�q�说明他们应该得��C��U�保护正是security-constriaint元素的用途。此元素�?web.xml中应该出现在login-config的紧前面。它包含是个可能的子元素�Q�分别是�Q�web-resource-collection�?auth-constraint、user-data- constraint和display-name。下面各��节对它们进行介�l��?br>l web-resource-collection
此元素确定应该保护的资源。所有security-constraint元素都必��d��含至��一个web-resource-collection��V��此元素�׃��个给��Z�Q意标识名�U�的web-resource-name元素、一个确定应该保护的URL的url-pattern元素、一个指出此保护所适用�?HTTP命��o�Q�GET、POST�{�，�~�省为所有方法）的http-method元素和一个提供资料的可选description元素�l�成。例如，下面�?Web-resource-collection��（在security-constratint元素内）指出Web应用的proprietary目录中所有文档应该受��C��护�?br>

Proprietary
/propritary/*

重要的是应该注意刎ͼ�url-pattern仅适用于直接访问这些资源的客户机。特别是�Q�它不适合于通过MVC体系�l�构利用 RequestDispatcher来访问的��面�Q�或者不适合于利用类似jsp:forward的手�D�|��讉K��的页面。这�U�不匀�U�如果利用得当的话很有好处。例如，servlet可利用MVC体系�l�构查找数据�Q�把它放到bean中，发送请求到从bean中提取数据的JSP��面�q�显�C�它。我们希望保证决不直接访问受保护的JSP��面�Q�而只是通过建立该页面将使用的bean的servlet来访问它。url-pattern和auth-contraint元素可通过声明不允�怓Q何用��L��接访问JSP��面来提供这�U�保证。但是，�q�种不匀�U�的行�ؓ可能让开发�h员放松警惕，使他们偶然对应受保护的资源提供不受限制的讉K��?
l auth-constraint
��管web-resource-collention元素质出了哪些URL应该受到保护�Q�但是auth-constraint元素却指出哪些用户应该具有受保护资源的访问权。此元素应该包含一个或多个标识��h��讉K��权限的用��L��别role- name元素�Q�以及包含（可选）一个描�q�角色的description元素。例如，下面web.xml中的security-constraint元素部门规定只有指定为Administrator或Big Kahuna�Q�或两者）的用户具有指定资源的讉K��权�?br>
...

administrator
kahuna

重要的是认识刎ͼ�到此为止�Q�这个过�E�的可移植部分结束了。服务器怎样��定哪些用户处于��M��角色以及它怎样存放用户的口令，完全有赖于具体的�pȝ��?br>例如�Q�Tomcat使用install_dir/conf/tomcat-users.xml��用户名与角色名和口令相兌��Q�正如下面例子中所�C�，它指出用户joe�Q�口令bigshot�Q�和jane�Q�口令enaj�Q�属于administrator和kahuna角色�?br>

l user-data-constraint
�q�个可选的元素指出在访问相兌��源时使用��M��传输层保护。它必须包含一个transport-guarantee子元素（合法��gؓNONE�?INTEGRAL或CONFIDENTIAL�Q�，�q�且可选地包含一个description元素。transport-guarantee为NONE值将�Ҏ��用的通讯协议不加限制。INTEGRAL��D��C�数据必��M��一�U�防止截取它的�h阅读它的方式传送。虽然原理上�Q��ƈ且在未来的HTTP版本中）�Q�在 INTEGRAL和CONFIDENTIAL之间可能会有差别�Q�但在当前实践中�Q�他们都只是��单地要求用SSL。例如，下面指示服务器只允许对相兌��源做 HTTPS�q�接�Q?br>

CONFIDENTIAL

l display-name
security-constraint的这个很��用的子元素给予可能由GUI工具使用的安全约束项一个名�U��?br>9.3 分配角色�?br>�q�今为止�Q�讨论已�l�集中到完全由容器（服务器）处理的安全问题之上了。但servlet以及JSP��面也能够处理它们自��q��安全问题�?br>例如�Q�容器可能允许用户从bigwig或bigcheese角色讉K��一个显�C�Z��h员额外紧贴的��面�Q�但只允许bigwig用户修改此页面的参数。完成这�U�更�l�致的控制的一�U�常见方法是调用HttpServletRequset的isUserInRole�Ҏ��Q��ƈ据此修改讉K��?br>Servlet�?security-role-ref子元素提供出现在服务器专用口令文件中的安全角色名的一个别名。例如，假如�~�写了一个调�?request.isUserInRole�Q?boss"�Q�的servlet�Q�但后来该servlet被用在了一个其口��o文�g调用角色manager而不是boss的服务器中。下面的�E�序�D��该servlet能够使用�q�两个名�U�C��的�Q何一个�?br>

boss
manager

也可以在web-app内利用security-role元素提供��出现在role-name元素中的所有安全角色的一个全局列表。分别地生命角色佉K��U�IDE�Ҏ��处理安全信息�?br>
10 控制会话��时

如果某个会话在一定的旉��内未被访问，服务器可把它扔掉以节�U�内存。可利用HttpSession的setMaxInactiveInterval�Ҏ��直接讄��个别会话对象的超时倹{��如果不采用�q�种�Ҏ��Q�则�~�省的超时值由具体的服务器军_��。但可利用session-config和session- timeout元素来给��Z��个适用于所有服务器的明��的��时倹{��超时值的单位为分钟，因此�Q�下面的例子讄��~�省会话��时��gؓ三个��时�Q?80分钟�Q��?br>
180

11 Web应用的文档化

��来��多的开发环境开始提供servlet和JSP的直接支持。例子有Borland Jbuilder Enterprise Edition�?Macromedia UltraDev、Allaire JRun Studio�Q�写此文�Ӟ��已被Macromedia收购�Q�以�?IBM VisuaAge for Java�{��?br>大量的web.xml元素不仅是�ؓ服务器设计的�Q�而且�q�是为可视开发环境设计的。它们包括icon、display-name和discription�{��?br>可回忆一下，在web.xml内以适当地次序声明web-app子元素很重要。不�q�，�q�里只要��C��icon、display-name和description是web.xml的web-app元素内的前三个合法元素即可�?br>l icon
icon元素指出GUI工具可用来代表Web应用的一个和两个囑փ�文�g。可利用small-icon元素指定一�q?6 x 16的GIF或JPEG囑փ��Q�用large-icon元素指定一�q?2 x 32的图像。下面�D一个例子：

/images/small-book.gif
/images/tome.jpg

l display-name
display-name元素提供GUI工具可能会用来标记此Web应用的一个名�U�。下面是个例子�?br>Rare Books
l description
description元素提供解释性文本，如下所�C�：

This Web application represents the store developed for
rare-books.com, an online bookstore specializing in rare
and limited-edition books.

12 兌��文�g与MIME�c�d��

服务器一般都��h��一�U�让Web站点��理员将文�g扩展名与媒体相关联的�Ҏ��。例如，��会自动�l�予名�ؓmom.jpg的文件一个image/jpeg�?MIME �c�d��。但是，假如你的Web应用��h��几个不寻常的文�g�Q�你希望保证它们在发送到客户机时分配为某�U�MIME�c�d��。mime-mapping元素�Q�具�?extension和mime-type子元素）可提供这�U�保证。例如，下面的代码指�C�服务器��application/x-fubar�?MIME�c�d��分配�l�所有以.foo�l�尾的文件�?br>
foo
application/x-fubar

或许�Q�你的Web应用希望重蝲�Q�override�Q�标准的映射。例如，下面的代码将告诉服务器在发送到客户机时指定.ps文�g作�ؓ�U�文本（text/plain�Q�而不是作为PostScript�Q�application/postscript�Q��?br>
ps
application/postscript

13 定位TLD

JSP taglib 元素��h��一个必要的uri属性，它给��Z��个TLD�Q�Tag Library Descriptor�Q�文件相对于Web应用的根的位�|�。TLD文�g的实际名�U�在发布新的标签库版本时可能会改变，但我们希望避免更�Ҏ��有现有JSP��面。此外，可能�q�希望��用保持taglib元素的简�l�性的一个简短的uri。这��是部��v描述�W�文件的taglib元素�z��场的所在了。Taglib包含两个子元素：taglib-uri和taglib-location�?taglib-uri元素应该与用于JSP taglib元素的uri属性的东西相匹配。Taglib-location元素�l�出TLD文�g的实际位�|�。例如，假如你将文�gchart-tags- 1.3beta.tld攑֜�WebApp/WEB-INF/tlds中。现在，假如web.xml在web- app元素内包含下列内宏V�?br>
/charts.tld

/WEB-INF/tlds/chart-tags-1.3beta.tld

�l�出�q�个说明后，JSP��面可通过下面的简化�Ş式��用标�{�ֺ��?br><%@ taglib uri="/charts.tld" prefix="somePrefix" %>

14 指定应用事�g监听�E�序

应用事�g监听器程序是建立或修改servlet环境或会话对象时通知的类。它们是servlet规范的版�?.3中的新内宏V��这里只��单地说明用来向Web应用注册一个监听程序的web.xml的用法�?br>注册一个监听程序涉及在web.xml的web-app元素内放�|�一个listener元素。在listener元素内，listener-class元素列出监听�E�序的完整的限定�c�d��Q�如下所�C�：

package.ListenerClass

虽然listener元素的结构很��单，但请不要忘记�Q�必��L��地�l�出web-app元素内的子元素的�ơ序。listener元素位于所有的 servlet 元素之前以及所有filter-mapping元素之后。此外，因�ؓ应用生存期监听程序是serlvet规范�?.3版本中的新内容，所以必��M��?web.xml DTD�?.3版本�Q�而不�?.2版本�?br>例如�Q�程序清�?-20�l�出一个名为ContextReporter的简单的监听�E�序�Q�只要Web应用的Servlet-Context建立�Q�如装蝲Web应用�Q�或消除�Q�如服务器关闭）�Ӟ��它就在标准输��Z��昄��一条消息。程序清�?-21�l�出此监听程序注册所需要的web.xml文�g的一部分�?br>
�E�序清单5-20 ContextReporterjava
package moreservlets;

import javax.servlet.*;
import java.util.*;

/** Simple listener that prints a report on the standard output
* when the ServletContext is created or destroyed.
*

* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/

public class ContextReporter implements ServletContextListener {
public void contextInitialized(ServletContextEvent event) {
System.out.println("Context created on " +
new Date() + ".");
}

public void contextDestroyed(ServletContextEvent event) {
System.out.println("Context destroyed on " +
new Date() + ".");
}
}

�E�序清单5-21 web.xml�Q�声明一个监听程序的摘录�Q?br>
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">

…

package.ListenerClass

...

15 J2EE元素

本节描述用作J2EE环境�l�成部分的Web应用的web.xml元素。这里将提供一个简明的介绍�Q�详�l�内容可以参阅http: //java.sun.com/j2ee/j2ee-1_3-fr-spec.pdf�?Java 2 Plantform Enterprise Edition版本1.3规范的第5章�?br>l distributable
distributable 元素指出�Q�Web应用是以�q�样的方式编�E�的�Q�即�Q�支持集��的服务器可安全地在多个服务器上分布Web应用。例如，一个可分布的应用必��d��使用 Serializable对象作�ؓ其HttpSession对象的属性，而且必须避免用实例变量（字段�Q�来实现持箋性。distributable元素直接出现在discription元素之后�Q��ƈ且不包含子元素或数据�Q�它只是一个如下的标志�?br>
l resource-env-ref
resource -env-ref元素声明一个与某个资源有关的管理对象。此元素�׃��个可选的description元素、一个resource-env-ref- name元素�Q�一个相对于java:comp/env环境的JNDI名）以及一个resource-env-type元素�Q�指定资源类型的完全限定的类�Q�，如下所�C�：

jms/StockQueue

javax.jms.Queue

l env-entry
env -entry元素声明Web应用的环境项。它�׃��个可选的description元素、一个env-entry-name元素�Q�一个相对于java: comp/env环境JNDI名）、一个env-entry-value元素�Q�项��|��以及一个env-entry-type元素�Q�java.lang�E�序包中一个类型的完全限定�c�d��Q�java.lang.Boolean、java.lang.String�{�）�l�成。下面是一个例子：

minAmout
100.00
minAmout

l ejb-ref
ejb -ref元素声明对一个EJB的主目录的应用。它�׃��个可选的description元素、一个ejb-ref-name元素�Q�相对于java: comp/env的EJB应用�Q�、一个ejb-ref-type元素�Q�bean的类型，Entity或Session�Q�、一个home元素�Q�bean的主目录接口的完全限定名�Q�、一个remote元素�Q�bean的远�E�接口的完全限定名）以及一个可选的ejb-link元素�Q�当前bean链接的另一�?bean的名�U�ͼ��l�成�?br>l ejb-local-ref
ejb-local-ref元素声明一个EJB的本��C��目录的引用。除了用local-home代替home外，此元素具有与ejb-ref元素相同的属性�ƈ以相同的方式使用

朱岩 2007-03-27 21:08 发表评论