1 这里讨论控制servlet和JSP页面的启动行为的方法。特别是，说明了怎样分配初始化参数以及怎样更改服务器生存期中装载servlet和JSP页面的时刻。
2 5.1 分配servlet初始化参数
3 利 用init-param元素向servlet提供初始化参数，init-param元素具有param-name和param-value子元素。例如， 在下面的例子中，如果initServlet servlet是利用它的注册名（InitTest）访问的，它将能够从其方法中调用 getServletConfig(). getInitParameter("param1")获得"Value 1"，调用 getServletConfig().getInitParameter("param2")获得"2"。
4 <servlet>
5 <servlet-name>InitTest</servlet-name>
6 <servlet-class>moreservlets.InitServlet</servlet-class>
7 <init-param>
8 <param-name>param1</param-name>
9 <param-value>value1</param-value>
10 </init-param>
11 <init-param>
12 <param-name>param2</param-name>
13 <param-value>2</param-value>
14 </init-param>
15 </servlet>
16 在涉及初始化参数时，有几点需要注意：
17 l 返回值。GetInitParameter的返回值总是一个String。因此，在前一个例子中，可对param2使用Integer.parseInt获得一个int。
18 l JSP中的初始化。JSP页面使用jspInit而不是init。JSP页面还需要使用jsp-file元素代替servlet-class。
19 l 缺省URL。初始化参数只在通过它们的注册名或与它们注册名相关的定制URL模式访问Servlet时可以使用。因此，在这个例子中，param1和 param2初始化参数将能够在使用URL http://host/webAppPrefix/servlet/InitTest 时可用，但在使用 URL http://host/webAppPrefix/servlet/myPackage.InitServlet 时不能使用。
20 例如，程序清单5-7给出一个名为InitServlet的简单servlet，它使用init方法设置firstName和emailAddress字段。程序清单5-8给出分配名称InitTest给servlet的web.xml文件。
21 程序清单5-7 InitServlet.java
22 package moreservlets;
23
24 import java.io.*;
25 import javax.servlet.*;
26 import javax.servlet.http.*;
27
28 /** Simple servlet used to illustrate servlet
29 * initialization parameters.
30 *
31
32 * Taken from More Servlets and JavaServer Pages
33 * from Prentice Hall and Sun Microsystems Press,
34 * http://www.moreservlets.com/.
35 * © 2002 Marty Hall; may be freely used or adapted.
36 */
37
38 public class InitServlet extends HttpServlet {
39 private String firstName, emailAddress;
40
41 public void init() {
42 ServletConfig config = getServletConfig();
43 firstName = config.getInitParameter("firstName");
44 emailAddress = config.getInitParameter("emailAddress");
45 }
46
47 public void doGet(HttpServletRequest request,
48 HttpServletResponse response)
49 throws ServletException, IOException {
50 response.setContentType("text/html");
51 PrintWriter ōut = response.getWriter();
52 String uri = request.getRequestURI();
53 out.println(ServletUtilities.headWithTitle("Init Servlet") +
54 "<BODY BGCOLOR=\"#FDF5E6\">\n" +
55 "
56
57 Init Parameters:
58 \n" +
59 "
60 \n" +
61 "
62 First name: " + firstName + "\n" +
63 "
64 Email address: " + emailAddress + "\n" +
65 "
66 \n" +
67 "</BODY></HTML>");
68 }
69 }
70
71
72 程序清单5-8 web.xml（说明初始化参数的摘录）
73 <?xml version="1.0" encoding="ISO-8859-1"?>
74 <!DOCTYPE web-app
75 PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
76 "http://java.sun.com/dtd/web-app_2_3.dtd">
77
78 <web-app>
79 <!-- ... -->
80 <servlet>
81 <servlet-name>InitTest</servlet-name>
82 <servlet-class>moreservlets.InitServlet</servlet-class>
83 <init-param>
84 <param-name>firstName</param-name>
85 <param-value>Larry</param-value>
86 </init-param>
87 <init-param>
88 <param-name>emailAddress</param-name>
89 <param-value>Ellison@Microsoft.com</param-value>
90 </init-param>
91 </servlet>
92 <!-- ... -->
93 </web-app>
94
95 5.2 分配JSP初始化参数
96 给JSP页面提供初始化参数在三个方面不同于给servlet提供初始化参数。
97 1）使用jsp-file而不是servlet-class。因此，WEB-INF/web.xml文件的servlet元素如下所示：
98 <servlet>
99 <servlet-name>PageName</servlet-name>
100 <jsp-file>/RealPage.jsp</jsp-file>
101 <init-param>
102 <param-name>...</param-name>
103 <param-value>...</param-value>
104 </init-param>
105 ...
106 </servlet>
107 2) 几乎总是分配一个明确的URL模式。对servlet，一般相应地使用以http://host/webAppPrefix/servlet/ 开始的缺省URL。只需记住，使用注册名而不是原名称即可。这对于JSP页面在技术上也是合法的。例如，在上面给出的例子中，可用URL http: //host/webAppPrefix/servlet/PageName 访问RealPage.jsp的对初始化参数具有访问权的版本。但在用于 JSP页面时，许多用户似乎不喜欢应用常规的servlet的URL。此外，如果 JSP页面位于服务器为其提供了目录清单的目录中（如，一个既没有 index.html也没有index.jsp文件的目录），则用户可能会连接到此 JSP页面，单击它，从而意外地激活未初始化的页面。因此，好的办法是使用url-pattern（5.3节）将JSP页面的原URL与注册的 servlet名相关联。这样，客户机可使用JSP页面的普通名称，但仍然激活定制的版本。例如，给定来自项目1的servlet定义，可使用下面的 servlet-mapping定义：
108 <servlet-mapping>
109 <servlet-name>PageName</servlet-name>
110 <url-pattern>/RealPage.jsp</url-pattern>
111 </servlet-mapping>
112 3）JSP页使用jspInit而不是init。自动从JSP页面建立的servlet或许已经使用了inti方法。因此，使用JSP声明提供一个init方法是不合法的，必须制定jspInit方法。
113 为 了说明初始化JSP页面的过程，程序清单5-9给出了一个名为InitPage.jsp的JSP页面，它包含一个jspInit方法且放置于 deployDemo Web应用层次结构的顶层。一般，http://host/deployDemo/InitPage.jsp 形式的URL将激活此页面的不具有初始化参数访问权的版本，从而将对firstName和emailAddress变量显示null。但是， web.xml文件（程序清单5-10）分配了一个注册名，然后将该注册名与URL模式/InitPage.jsp相关联。
114
115 程序清单5-9 InitPage.jsp
116 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
117 <HTML>
118 <HEAD></HEAD>
119 <BODY BGCOLOR="#FDF5E6">
120
121 Init Parameters:
122
123
124
125
126 First name: <%= firstName %>
127
128 Email address: <%= emailAddress %>
129
130
131 </BODY></HTML>
132 <%!
133 private String firstName, emailAddress;
134
135 public void jspInit() {
136 ServletConfig config = getServletConfig();
137 firstName = config.getInitParameter("firstName");
138 emailAddress = config.getInitParameter("emailAddress");
139 }
140 %>
141
142
143 程序清单5-10 web.xml（说明JSP页面的init参数的摘录）
144 <?xml version="1.0" encoding="ISO-8859-1"?>
145 <!DOCTYPE web-app
146 PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
147 "http://java.sun.com/dtd/web-app_2_3.dtd">
148
149 <web-app>
150 <!-- ... -->
151 <servlet>
152 <servlet-name>InitPage</servlet-name>
153 <jsp-file>/InitPage.jsp</jsp-file>
154 <init-param>
155 <param-name>firstName</param-name>
156 <param-value>Bill</param-value>
157 </init-param>
158 <init-param>
159 <param-name>emailAddress</param-name>
160 <param-value>gates@oracle.com</param-value>
161 </init-param>
162 </servlet>
163 <!-- ... -->
164 <servlet-mapping>
165 <servlet-name> InitPage</servlet-name>
166 <url-pattern>/InitPage.jsp</url-pattern>
167 </servlet-mapping>
168 <!-- ... -->
169 </web-app>
170
171
172 5.3 提供应用范围内的初始化参数
173 一 般，对单个地servlet或JSP页面分配初始化参数。指定的servlet或JSP页面利用ServletConfig的 getInitParameter方法读取这些参数。但是，在某些情形下，希望提供可由任意servlet或JSP页面借助ServletContext 的getInitParameter方法读取的系统范围内的初始化参数。
174 可利用context-param元素声明这些系统范围内的初始化值。context-param元素应该包含param-name、param-value以及可选的descrīption子元素，如下所示：
175 <context-param>
176 <param-name>support-email</param-name>
177 <param-value>blackhole@mycompany.com</param-value>
178 </context-param>
179 可 回忆一下，为了保证可移植性，web.xml内的元素必须以正确的次序声明。但这里应该注意，context-param元素必须出现任意与文档有关的元 素（icon、display-name或descrīption）之后及filter、filter-mapping、listener或 servlet元素之前。
180 5.4 在服务器启动时装载servlet
181 假如servlet或JSP页面有一个要花很长时间执行的 init （servlet）或jspInit（JSP）方法。例如，假如init或jspInit方法从某个数据库或ResourceBundle 查找产量。这种情况下，在第一个客户机请求时装载servlet的缺省行为将对第一个客户机产生较长时间的延迟。因此，可利用servlet的load- on - startup元素规定服务器在第一次启动时装载servlet。下面是一个例子。
182 <servlet>
183 <servlet-name> … </servlet-name>
184 <servlet-class> … </servlet-class> <!-- Or jsp-file -->
185 <load-on-startup/>
186 </servlet>
187 可 以为此元素体提供一个整数而不是使用一个空的load-on-startup。想法是服务器应该在装载较大数目的servlet或JSP页面之前装载较少 数目的servlet或JSP页面。例如，下面的servlet项（放置在Web应用的WEB-INF目录下的web.xml文件中的web-app元素 内）将指示服务器首先装载和初始化SearchServlet，然后装载和初始化由位于Web应用的result目录中的index.jsp文件产生的 servlet。
188 <servlet>
189 <servlet-name>Search</servlet-name>
190 <servlet-class>myPackage.SearchServlet</servlet-class> <!-- Or jsp-file -->
191 <load-on-startup>1</load-on-startup>
192 </servlet>
193 <servlet>
194 <servlet-name>Results</servlet-name>
195 <servlet-class>/results/index.jsp</servlet-class> <!-- Or jsp-file -->
196 <load-on-startup>2</load-on-startup>
197 </servlet>
198
199 6 声明过滤器
200
201 servlet版本2.3引入了过滤器的概念。虽然所有支持servlet API版本2.3的服务器都支持过滤器，但为了使用与过滤器有关的元素，必须在web.xml中使用版本2.3的DTD。
202 过 滤器可截取和修改进入一个servlet或JSP页面的请求或从一个servlet或JSP页面发出的相应。在执行一个servlet或JSP页面之前， 必须执行第一个相关的过滤器的doFilter方法。在该过滤器对其FilterChain对象调用doFilter时，执行链中的下一个过滤器。如果没 有其他过滤器，servlet或JSP页面被执行。过滤器具有对到来的ServletRequest对象的全部访问权，因此，它们可以查看客户机名、查找 到来的cookie等。为了访问servlet或JSP页面的输出，过滤器可将响应对象包裹在一个替身对象（stand-in object）中，比方说把输出累加到一个缓冲区。在调用FilterChain对象的doFilter方法之后，过滤器可检查缓冲区，如有必要，就对它 进行修改，然后传送到客户机。
203 例如，程序清单5-11帝国难以了一个简单的过滤器，只要访问相关的servlet或JSP页面，它就截取请求并在标准输出上打印一个报告（开发过程中在桌面系统上运行时，大多数服务器都可以使用这个过滤器）。
204
205 程序清单5-11 ReportFilter.java
206 package moreservlets;
207
208 import java.io.*;
209 import javax.servlet.*;
210 import javax.servlet.http.*;
211 import java.util.*;
212
213 /** Simple filter that prints a report on the standard output
214 * whenever the associated servlet or JSP page is accessed.
215 *
216
217 * Taken from More Servlets and JavaServer Pages
218 * from Prentice Hall and Sun Microsystems Press,
219 * http://www.moreservlets.com/.
220 * © 2002 Marty Hall; may be freely used or adapted.
221 */
222
223 public class ReportFilter implements Filter {
224 public void doFilter(ServletRequest request,
225 ServletResponse response,
226 FilterChain chain)
227 throws ServletException, IOException {
228 HttpServletRequest req = (HttpServletRequest)request;
229 System.out.println(req.getRemoteHost() +
230 " tried to access " +
231 req.getRequestURL() +
232 " on " + new Date() + ".");
233 chain.doFilter(request,response);
234 }
235
236 public void init(FilterConfig config)
237 throws ServletException {
238 }
239
240 public void destroy() {}
241 }
242
243 一 旦建立了一个过滤器，可以在web.xml中利用filter元素以及filter-name（任意名称）、file-class（完全限定的类名）和 （可选的）init-params子元素声明它。请注意，元素在web.xml的web-app元素中出现的次序不是任意的；允许服务器（但不是必需的） 强制所需的次序，并且实际中有些服务器也是这样做的。但这里要注意，所有filter元素必须出现在任意filter-mapping元素之前， filter-mapping元素又必须出现在所有servlet或servlet-mapping元素之前。
244 例如，给定上述的ReportFilter类，可在web.xml中作出下面的filter声明。它把名称Reporter与实际的类ReportFilter（位于moreservlets程序包中）相关联。
245 <filter>
246 <filter-name>Reporter</filter-name>
247 <filter-class>moresevlets.ReportFilter</filter-class>
248 </filter>
249 一旦命名了一个过滤器，可利用filter-mapping元素把它与一个或多个servlet或JSP页面相关联。关于此项工作有两种选择。
250 首 先，可使用filter-name和servlet-name子元素把此过滤器与一个特定的servlet名（此servlet名必须稍后在相同的 web.xml文件中使用servlet元素声明）关联。例如，下面的程序片断指示系统只要利用一个定制的URL访问名为 SomeServletName 的servlet或JSP页面，就运行名为Reporter的过滤器。
251 <filter-mapping>
252 <filter-name>Reporter</filter-name>
253 <servlet-name>SomeServletName</servlet-name>
254 </filter-mapping>
255 其次，可利用filter-name和url-pattern子元素将过滤器与一组servlet、JSP页面或静态内容相关联。例如，相面的程序片段指示系统只要访问Web应用中的任意URL，就运行名为Reporter的过滤器。
256 <filter-mapping>
257 <filter-name>Reporter</filter-name>
258 <url-pattern>/*</url-pattern>
259 </filter-mapping>
260 例 如，程序清单5-12给出了将ReportFilter过滤器与名为PageName的servlet相关联的web.xml文件的一部分。名字 PageName依次又与一个名为TestPage.jsp的JSP页面以及以模式http: //host/webAppPrefix/UrlTest2/ 开头的URL相关联。TestPage.jsp的源代码已经JSP页面命名的谈论在前面的3节"分配名称和定制的URL"中给出。事实上，程序清单5- 12中的servlet和servlet-name项从该节原封不动地拿过来的。给定这些web.xml项，可看到下面的标准输出形式的调试报告（换行是 为了容易阅读）。
261 audit.irs.gov tried to access
262 http://mycompany.com/deployDemo/UrlTest2/business/tax-plan.html
263 on Tue Dec 25 13:12:29 EDT 2001.
264
265 程序清单5-12 Web.xml（说明filter用法的摘录）
266 <?xml version="1.0" encoding="ISO-8859-1"?>
267 <!DOCTYPE web-app
268 PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
269 "http://java.sun.com/dtd/web-app_2_3.dtd">
270
271 <web-app>
272 <filter>
273 <filter-name>Reporter</filter-name>
274 <filter-class>moresevlets.ReportFilter</filter-class>
275 </filter>
276 <!-- ... -->
277 <filter-mapping>
278 <filter-name>Reporter</filter-name>
279 <servlet-name>PageName</servlet-name>
280 </filter-mapping>
281 <!-- ... -->
282 <servlet>
283 <servlet-name>PageName</servlet-name>
284 <jsp-file>/RealPage.jsp</jsp-file>
285 </servlet>
286 <!-- ... -->
287 <servlet-mapping>
288 <servlet-name> PageName </servlet-name>
289 <url-pattern>/UrlTest2/*</url-pattern>
290 </servlet-mapping>
291 <!-- ... -->
292 </web-app>
293
294
295 7 指定欢迎页
296
297 假 如用户提供了一个像http: //host/webAppPrefix/directoryName/ 这样的包含一个目录名但没有包含文件名的 URL，会发生什么事情呢？用户能得到一个目录表？一个错误？还是标准文件的内容？如果得到标准文件内容，是 index.html、 index.jsp、default.html、default.htm或别的什么东西呢？
298 Welcome-file-list 元素及其辅助的 welcome-file元素解决了这个模糊的问题。例如，下面的web.xml项指出，如果一个URL给出一个目录名但未给出文件名，服务器应该首先试 用index.jsp，然后再试用index.html。如果两者都没有找到，则结果有赖于所用的服务器（如一个目录列表）。
299 <welcome-file-list>
300 <welcome-file>index.jsp</welcome-file>
301 <welcome-file>index.html</welcome-file>
302 </welcome-file-list>
303 虽然许多服务器缺省遵循这种行为，但不一定必须这样。因此，明确地使用welcom-file-list保证可移植性是一种良好的习惯。
304
305 8 指定处理错误的页面
306
307 现 在我了解到，你在开发servlet和JSP页面时从不会犯错误，而且你的所有页面是那样的清晰，一般的程序员都不会被它们的搞糊涂。但是，是人总会犯错 误的，用户可能会提供不合规定的参数，使用不正确的URL或者不能提供必需的表单字段值。除此之外，其它开发人员可能不那么细心，他们应该有些工具来克服 自己的不足。
308 error-page元素就是用来克服这些问题的。它有两个可能的子元素，分别是：error-code和exception- type。第一个子元素error-code指出在给定的HTTP错误代码出现时使用的URL。第二个子元素excpetion-type指出在出现某个 给定的Java异常但未捕捉到时使用的URL。error-code和exception-type都利用location元素指出相应的URL。此 URL必须以/开始。location所指出的位置处的页面可通过查找HttpServletRequest对象的两个专门的属性来访问关于错误的信息， 这两个属性分别是：javax.servlet.error.status_code和javax.servlet.error.message。
309 可回忆一下，在web.xml内以正确的次序声明web-app的子元素很重要。这里只要记住，error-page出现在web.xml文件的末尾附近，servlet、servlet-name和welcome-file-list之后即可。
310
311 8.1 error-code元素
312 为 了更好地了解error-code元素的值，可考虑一下如果不正确地输入文件名，大多数站点会作出什么反映。这样做一般会出现一个404错误信息，它表示 不能找到该文件，但几乎没提供更多有用的信息。另一方面，可以试一下在www.microsoft.com、www.ibm.com 处或者特别是在 www.bea.com 处输出未知的文件名。这是会得出有用的消息，这些消息提供可选择的位置，以便查找感兴趣的页面。提供这样有用的错误页面对于 Web应用来说是很有价值得。事实上rm-error-page子元素）。由form-login-page给出的HTML表单必须具有一个 j_security_check的 ACTION属性、一个名为j_username的用户名文本字段以及一个名为j_password的口令字段。
313 例如，程序清单5-19指示服务器使用基于表单的验证。Web应用的顶层目录中的一个名为login.jsp的页面将收集用户名和口令，并且失败的登陆将由相同目录中名为login-error.jsp的页面报告。
314
315 程序清单5-19 web.xml（说明login-config的摘录）
316 <?xml version="1.0" encoding="ISO-8859-1"?>
317 <!DOCTYPE web-app
318 PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
319 "http://java.sun.com/dtd/web-app_2_3.dtd">
320
321 <web-app>
322 <!-- ... -->
323 <security-constraint> ... </security-constraint>
324 <login-config>
325 <auth-method> FORM </auth-method>
326 <form-login-config>
327 <form-login-page>/login.jsp</form-login-page>
328 <form-error-page>/login-error.jsp</form-error-page>
329 </form-login-config>
330 </login-config>
331 <!-- ... -->
332 </web-app>
333
334
335 9.2 限制对Web资源的访问
336 现 在，可以指示服务器使用何种验证方法了。"了不起，"你说道，"除非我能指定一个来收到保护的 URL，否则没有多大用处。"没错。指出这些URL并说明他们应该得到何种保护正是security-constriaint元素的用途。此元素在 web.xml中应该出现在login-config的紧前面。它包含是个可能的子元素，分别是：web-resource-collection、 auth-constraint、user-data- constraint和display-name。下面各小节对它们进行介绍。
337 l web-resource-collection
338 此 元素确定应该保护的资源。所有security-constraint元素都必须包含至少一个web-resource-collection项。此元素 由一个给出任意标识名称的web-resource-name元素、一个确定应该保护的URL的url-pattern元素、一个指出此保护所适用的 HTTP命令（GET、POST等，缺省为所有方法）的http-method元素和一个提供资料的可选descrīption元素组成。例如，下面的 Web-resource-collection项（在security-constratint元素内）指出Web应用的proprietary目录中 所有文档应该受到保护。
339 <security-constraint>
340 <web-resource-coolection>
341 <web-resource-name>Proprietary</web-resource-name>
342 <url-pattern>/propritary/*</url-pattern>
343 </web-resource-coolection>
344 <!-- ... -->
345 </security-constraint>
346 重 要的是应该注意到，url-pattern仅适用于直接访问这些资源的客户机。特别是，它不适合于通过MVC体系结构利用 RequestDispatcher来访问的页面，或者不适合于利用类似jsp:forward的手段来访问的页面。这种不匀称如果利用得当的话很有好 处。例如，servlet可利用MVC体系结构查找数据，把它放到bean中，发送请求到从bean中提取数据的JSP页面并显示它。我们希望保证决不直 接访问受保护的JSP页面，而只是通过建立该页面将使用的bean的servlet来访问它。url-pattern和auth-contraint元素 可通过声明不允许任何用户直接访问JSP页面来提供这种保证。但是，这种不匀称的行为可能让开发人员放松警惕，使他们偶然对应受保护的资源提供不受限制的 访问。
347 l auth-constraint
348 尽管web-resource-collention元素质出了哪些URL应该受到保护， 但是auth-constraint元素却指出哪些用户应该具有受保护资源的访问权。此元素应该包含一个或多个标识具有访问权限的用户类别role- name元素，以及包含（可选）一个描述角色的descrīption元素。例如，下面web.xml中的security-constraint元素部 门规定只有指定为Administrator或Big Kahuna（或两者）的用户具有指定资源的访问权。
349 <security-constraint>
350 <web-resource-coolection> ... </web-resource-coolection>
351 <auth-constraint>
352 <role-name>administrator</role-name>
353 <role-name>kahuna</role-name>
354 </auth-constraint>
355 </security-constraint>
356 重要的是认识到，到此为止，这个过程的可移植部分结束了。服务器怎样确定哪些用户处于任何角色以及它怎样存放用户的口令，完全有赖于具体的系统。
357 例如，Tomcat使用install_dir/conf/tomcat-users.xml将用户名与角色名和口令相关联，正如下面例子中所示，它指出用户joe（口令bigshot）和jane（口令enaj）属于administrator和kahuna角色。
358 <tomcat-users>
359 <user name="joe" password="bigshot" roles="administrator,kahuna" />
360 <user name="jane" password="enaj" roles="kahuna" />
361 </tomcat-users>
362 l user-data-constraint
363 这 个可选的元素指出在访问相关资源时使用任何传输层保护。它必须包含一个transport-guarantee子元素（合法值为NONE、 INTEGRAL或CONFIDENTIAL），并且可选地包含一个descrīption元素。transport-guarantee为NONE值将 对所用的通讯协议不加限制。INTEGRAL值表示数据必须以一种防止截取它的人阅读它的方式传送。虽然原理上（并且在未来的HTTP版本中），在 INTEGRAL和CONFIDENTIAL之间可能会有差别，但在当前实践中，他们都只是简单地要求用SSL。例如，下面指示服务器只允许对相关资源做 HTTPS连接：
364 <security-constraint>
365 <!-- ... -->
366 <user-data-constraint>
367 <transport-guarantee>CONFIDENTIAL</transport-guarantee>
368 </user-data-constraint>
369 </security-constraint>
370 l display-name
371 security-constraint的这个很少使用的子元素给予可能由GUI工具使用的安全约束项一个名称。
372 9.3 分配角色名
373 迄今为止，讨论已经集中到完全由容器（服务器）处理的安全问题之上了。但servlet以及JSP页面也能够处理它们自己的安全问题。
374 例 如，容器可能允许用户从bigwig或bigcheese角色访问一个显示主管人员额外紧贴的页面，但只允许bigwig用户修改此页面的参数。完成这种 更细致的控制的一种常见方法是调用HttpServletRequset的isUserInRole方法，并据此修改访问。
375 Servlet的 security-role-ref子元素提供出现在服务器专用口令文件中的安全角色名的一个别名。例如，假如编写了一个调用 request.isUserInRole（"boss"）的servlet，但后来该servlet被用在了一个其口令文件调用角色manager而不 是boss的服务器中。下面的程序段使该servlet能够使用这两个名称中的任何一个。
376 <servlet>
377 <!-- ... -->
378 <security-role-ref>
379 <role-name>boss</role-name> <!-- New alias -->
380 <role-link>manager</role-link> <!-- Real name -->
381 </security-role-ref>
382 </servlet>
383 也可以在web-app内利用security-role元素提供将出现在role-name元素中的所有安全角色的一个全局列表。分别地生命角色使高级IDE容易处理安全信息。
384
385 10 控制会话超时
386
387 如 果某个会话在一定的时间内未被访问，服务器可把它扔掉以节约内存。可利用HttpSession的setMaxInactiveInterval方法直接 设置个别会话对象的超时值。如果不采用这种方法，则缺省的超时值由具体的服务器决定。但可利用session-config和session- timeout元素来给出一个适用于所有服务器的明确的超时值。超时值的单位为分钟，因此，下面的例子设置缺省会话超时值为三个小时（180分钟）。
388 <session-config>
389 <session-timeout>180</session-timeout>
390 </session-config>
391
392 11 Web应用的文档化
393
394 越 来越多的开发环境开始提供servlet和JSP的直接支持。例子有Borland Jbuilder Enterprise Edition、 Macromedia UltraDev、Allaire JRun Studio（写此文时，已被Macromedia收购）以及 IBM VisuaAge for Java等。
395 大量的web.xml元素不仅是为服务器设计的，而且还是为可视开发环境设计的。它们包括icon、display-name和discrīption等。
396 可回忆一下，在web.xml内以适当地次序声明web-app子元素很重要。不过，这里只要记住icon、display-name和descrīption是web.xml的web-app元素内的前三个合法元素即可。
397 l icon
398 icon元素指出GUI工具可用来代表Web应用的一个和两个图像文件。可利用small-icon元素指定一幅16 x 16的GIF或JPEG图像，用large-icon元素指定一幅32 x 32的图像。下面举一个例子：
399 <icon>
400 <small-icon>/images/small-book.gif</small-icon>
401 <large-icon>/images/tome.jpg</large-icon>
402 </icon>
403 l display-name
404 display-name元素提供GUI工具可能会用来标记此Web应用的一个名称。下面是个例子。
405 <display-name>Rare Books</display-name>
406 l descrīption
407 descrīption元素提供解释性文本，如下所示：
408 <descrīption>
409 This Web application represents the store developed for
410 rare-books.com, an online bookstore specializing in rare
411 and limited-edition books.
412 </descrīption>
413
414 12 关联文件与MIME类型
415
416 服 务器一般都具有一种让Web站点管理员将文件扩展名与媒体相关联的方法。例如，将会自动给予名为mom.jpg的文件一个image/jpeg的 MIME 类型。但是，假如你的Web应用具有几个不寻常的文件，你希望保证它们在发送到客户机时分配为某种MIME类型。mime-mapping元素（具有 extension和mime-type子元素）可提供这种保证。例如，下面的代码指示服务器将application/x-fubar的 MIME类型分配给所有以.foo结尾的文件。
417 <mime-mapping>
418 <extension>foo</extension>
419 <mime-type>application/x-fubar</mime-type>
420 </mime-mapping>
421 或许，你的Web应用希望重载（override）标准的映射。例如，下面的代码将告诉服务器在发送到客户机时指定.ps文件作为纯文本（text/plain）而不是作为Postscrīpt（application/postscrīpt）。
422 <mime-mapping>
423 <extension>ps</extension>
424 <mime-type>application/postscrīpt</mime-type>
425 </mime-mapping>
426
427
428 13 定位TLD
429
430 JSP taglib 元素具有一个必要的uri属性，它给出一个TLD（Tag Library Descrīptor）文件相对于Web应用的根的位置。TLD文件的实际名称在发布新的标签库版本时可能会改变，但我们希望避免更改所有现有JSP页 面。此外，可能还希望使用保持taglib元素的简练性的一个简短的uri。这就是部署描述符文件的taglib元素派用场的所在了。Taglib包含两 个子元素：taglib-uri和taglib-location。 taglib-uri元素应该与用于JSP taglib元素的uri属性的东西相匹配。Taglib-location元素给出TLD文件的实际位置。例如，假如你将文件chart-tags- 1.3beta.tld放在WebApp/WEB-INF/tlds中。现在，假如web.xml在web- app元素内包含下列内容。
431 <taglib>
432 <taglib-uri>/charts.tld</taglib-uri>
433 <taglib-location>
434 /WEB-INF/tlds/chart-tags-1.3beta.tld
435 </taglib-location>
436 </taglib>
437 给出这个说明后，JSP页面可通过下面的简化形式使用标签库。
438 <%@ taglib uri="/charts.tld" prefix="somePrefix" %>
439
440 14 指定应用事件监听程序
441
442 应用事件监听器程序是建立或修改servlet环境或会话对象时通知的类。它们是servlet规范的版本2.3中的新内容。这里只简单地说明用来向Web应用注册一个监听程序的web.xml的用法。
443 注册一个监听程序涉及在web.xml的web-app元素内放置一个listener元素。在listener元素内，listener-class元素列出监听程序的完整的限定类名，如下所示：
444 <listener>
445 <listener-class>package.ListenerClass</listener-class>
446 </listener>
447 虽 然listener元素的结构很简单，但请不要忘记，必须正确地给出web-app元素内的子元素的次序。listener元素位于所有的 servlet 元素之前以及所有filter-mapping元素之后。此外，因为应用生存期监听程序是serlvet规范的2.3版本中的新内容，所以必须使用 web.xml DTD的2.3版本，而不是2.2版本。
448 例如，程序清单5-20给出一个名为ContextReporter的简单的监听程序， 只要Web应用的Servlet-Context建立（如装载Web应用）或消除（如服务器关闭）时，它就在标准输出上显示一条消息。程序清单5-21给 出此监听程序注册所需要的web.xml文件的一部分。
449
450 程序清单5-20 ContextReporterjava
451 package moreservlets;
452
453 import javax.servlet.*;
454 import java.util.*;
455
456 /** Simple listener that prints a report on the standard output
457 * when the ServletContext is created or destroyed.
458 *
459
460
461 * Taken from More Servlets and JavaServer Pages
462 * from Prentice Hall and Sun Microsystems Press,
463 * http://www.moreservlets.com/.
464 * © 2002 Marty Hall; may be freely used or adapted.
465 */
466
467 public class ContextReporter implements ServletContextListener {
468 public void contextInitialized(ServletContextEvent event) {
469 System.out.println("Context created on " +
470 new Date() + ".");
471 }
472
473 public void contextDestroyed(ServletContextEvent event) {
474 System.out.println("Context destroyed on " +
475 new Date() + ".");
476 }
477 }
478
479
480 程序清单5-21 web.xml（声明一个监听程序的摘录）
481 <?xml version="1.0" encoding="ISO-8859-1"?>
482 <!DOCTYPE web-app
483 PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
484 "http://java.sun.com/dtd/web-app_2_3.dtd">
485
486 <web-app>
487 <!-- ... -->
488 <filter-mapping> … </filter-mapping>
489 <listener>
490 <listener-class>package.ListenerClass</listener-class>
491 </listener>
492 <servlet> ... </servlet>
493 <!-- ... -->
494 </web-app>
495
496
497 15 J2EE元素
498
499 本 节描述用作J2EE环境组成部分的Web应用的web.xml元素。这里将提供一个简明的介绍，详细内容可以参阅http: //java.sun.com/j2ee/j2ee-1_3-fr-spec.pdf的 Java 2 Plantform Enterprise Edition版本1.3规范的第5章。
500 l distributable
501 distributable 元素指出，Web应用是以这样的方式编程的：即，支持集群的服务器可安全地在多个服务器上分布Web应用。例如，一个可分布的应用必须只使用 Serializable对象作为其HttpSession对象的属性，而且必须避免用实例变量（字段）来实现持续性。distributable元素直 接出现在discrīption元素之后，并且不包含子元素或数据，它只是一个如下的标志。
502 <distributable />
503 l resource-env-ref
504 resource -env-ref元素声明一个与某个资源有关的管理对象。此元素由一个可选的descrīption元素、一个resource-env-ref- name元素（一个相对于java:comp/env环境的JNDI名）以及一个resource-env-type元素（指定资源类型的完全限定的 类），如下所示：
505 <resource-env-ref>
506 <resource-env-ref-name>
507 jms/StockQueue
508 </resource-env-ref-name>
509 <resource-env-ref-type>
510 javax.jms.Queue
511 </resource-env-ref-type>
512 </resource-env-ref>
513 l env-entry
514 env -entry元素声明Web应用的环境项。它由一个可选的descrīption元素、一个env-entry-name元素（一个相对于java: comp/env环境JNDI名）、一个env-entry-value元素（项值）以及一个env-entry-type元素（java.lang程序 包中一个类型的完全限定类名，java.lang.Boolean、java.lang.String等）组成。下面是一个例子：
515 <env-entry>
516 <env-entry-name>minAmout</env-entry-name>
517 <env-entry-value>100.00</env-entry-value>
518 <env-entry-type>minAmout</env-entry-type>
519 </env-entry>
520 l ejb-ref
521 ejb -ref元素声明对一个EJB的主目录的应用。它由一个可选的descrīption元素、一个ejb-ref-name元素（相对于java: comp/env的EJB应用）、一个ejb-ref-type元素（bean的类型，Entity或Session）、一个home元素（bean的主 目录接口的完全限定名）、一个remote元素（bean的远程接口的完全限定名）以及一个可选的ejb-link元素（当前bean链接的另一个 bean的名称）组成。
522 l ejb-local-ref
523 ejb-local-ref元素声明一个EJB的本地主目录的引用。除了用local-home代替home外，此元素具有与ejb-ref元素相同的属性并以相同的方式使用