1 定义头和根元素部署描述符文件就像所有XML文件一样，必须以一个XML头开始。这个头声明可以使用的XML版本并给出文件的字符编码。DOCYTPE声明必须立即出现在此头之后。这个声明告诉服务器适用的servlet规范的版本（如2.2或2.3）并指定管理此文件其余部分内容的语法的DTD(Document Type Definiti

部署描述符文件[wen jian]就像所有XML文件[wen jian]一样，必须以一个XML头开始。这个头声明[sheng ming]可以使用的XML版本并给出文件[wen jian]的字符[zi fu]编码[bian ma]。
DOCYTPE声明[sheng ming]必须立即出现在此头之后。这个声明[sheng ming]告诉服务器[fu wu qi]适用的servlet规范的版本（如2.2或2.3）并指定管理此文件[wen jian]其余部分内容的语法[yu fa]的DTD(Document Type Definition，文档[wen dang]类型[lei xing]定义)。
所有部署描述符文件[wen jian]的顶层（根）元素为web-app。请注意，XML元素不像HTML，他们是大小写敏感[da xiao xie min gan]的。因此，web-App和WEB-APP都是不合法的，web-app必须用小写。

XML 元素不仅是大小写敏感[da xiao xie min gan]的，而且它们还对出现在其他元素中的次序敏感。例如，XML头必须是文件[wen jian]中的第一项，DOCTYPE声明[sheng ming]必须是第二项，而web- app元素必须是第三项。在web-app元素内，元素的次序也很重要。服务器[fu wu qi]不一定强制要求这种次序，但它们允许（实际上有些服务器[fu wu qi]就是这样做的）完全拒绝执行[zhi hang]含有次序不正确的元素的Web应用[ying yong]。这表示使用非标准元素次序的web.xml文件[wen jian]是不可移植[yi zhi][ke yi zhi]的。
下面的列表[lie biao]给出了所有可直接出现在web-app元素内的合法元素所必需的次序。例如，此列表[lie biao]说明[shuo ming]servlet元素必须出现在所有servlet-mapping元素之前。请注意，所有这些元素都是可选的。因此，可以省略掉某一元素，但不能把它放于不正确的位置[wei zhi]。
l icon icon元素指出IDE和GUI工具用来表示Web应用[ying yong]的一个和两个图像[tu xiang]文件[wen jian]的位置[wei zhi]。
l display-name display-name元素提供GUI工具可能会用来标记[biao ji]这个特定的Web应用[ying yong]的一个名称。
l description description元素给出与此有关的说明[shuo ming]性文本[wen ben]。
l context-param context-param元素声明[sheng ming]应用[ying yong]范围[fan wei]内的初始化[chu shi hua]参数[can shu]。
l filter 过滤[guo lv]器[guo lv qi]元素将一个名字与一个实现javax.servlet.Filter接口[jie kou]的类相关联。
l filter-mapping 一旦命名了一个过滤[guo lv]器[guo lv qi]，就要利用filter-mapping元素把它与一个或多个servlet或JSP页面相关联。
l listener servlet API的版本2.3增加了对事件[shi jian]监听程序的支持[zhi chi]，事件[shi jian]监听程序在建立、修改[xiu gai]和删除[shan chu]会话[hui hua]或servlet环境时得到通知[tong zhi]。Listener元素指出事件[shi jian][chu shi jian]监听程序类。
l servlet 在向servlet或JSP页面制定初始化[chu shi hua]参数[can shu]或定制URL时，必须首先命名servlet或JSP页面。Servlet元素就是用来完成此项任务[ren wu]的。
l servlet-mapping 服务器[fu wu qi]一般为servlet提供一个缺省的URL： http://host/webAppPrefix/servlet/ServletName 。但是，常常会更改这个URL，以便servlet可以访问初始化[chu shi hua]参数[can shu]或更容易地处理相对URL。在更改缺省URL时，使用servlet-mapping元素。
l session-config 如果某个会话[hui hua]在一定时间内未被访问，服务器[fu wu qi]可以抛弃它以节省内存[nei cun]。可通过使用HttpSession的setMaxInactiveInterval方法[fang fa]明确设置[she zhi]单个会话[hui hua]对象[dui xiang]的超时[chao shi]值，或者可利用session-config元素制定缺省超时[chao shi]值。
l mime-mapping 如果Web应用[ying yong]具有想到特殊的文件[wen jian]，希望[xi wang]能保证给他们分配[fen pei]特定的MIME类型[lei xing]，则mime-mapping元素提供这种保证。
l welcom-file-list welcome-file-list元素指示[zhi shi]服务器[fu wu qi]在收到引用[yin yong]一个目录名而不是文件[wen jian]名[wen jian ming]的URL时，使用哪个文件[wen jian]。
l error-page error-page元素使得在返回特定HTTP状态[zhuang tai]代码[dai ma]时，或者特定类型[lei xing]的异常[yi chang]被抛出[pao chu]时，能够制定将要显示[xian shi]的页面。
l taglib taglib元素对标记[biao ji]库描述符文件[wen jian]（Tag Libraryu Descriptor file）指定别名[bie ming]。此功能使你能够更改TLD文件[wen jian]的位置[wei zhi]，而不用编辑使用这些文件[wen jian]的JSP页面。
l resource-env-ref resource-env-ref元素声明[sheng ming]与资源[zi yuan]相关的一个管理对象[dui xiang]。
l resource-ref resource-ref元素声明[sheng ming]一个资源[zi yuan]工厂使用的外部资源[zi yuan]。
l security-constraint security-constraint元素制定应该保护的URL。它与login-config元素联合使用
l login-config 用login-config元素来指定服务器[fu wu qi]应该怎样给试图访问受保护页面的用户[yong hu]授权[shou quan]。它与sercurity-constraint元素联合使用。
l security-role security-role元素给出安全角色的一个列表[lie biao]，这些角色将出现在servlet元素内的security-role-ref元素的role-name子元素中。分别地声明[sheng ming]角色可使高级IDE处理安全信息[xin xi]更为容易。
l env-entry env-entry元素声明[sheng ming]Web应用[ying yong]的环境项。
l ejb-ref ejb-ref元素声明[sheng ming]一个EJB的主目录[zhu mu lu]的引用[yin yong]。
l ejb-local-ref ejb-local-ref元素声明[sheng ming]一个EJB的本地主目录[zhu mu lu]的应用[ying yong]。

在web.xml中完成的一个最常见的任务[ren wu]是对servlet或JSP页面给出名称和定制的URL。用servlet元素分配[fen pei]名称，使用servlet-mapping元素将定制的URL与刚分配[fen pei]的名称相关联。

3.1 分配[fen pei]名称
为了提供初始化[chu shi hua]参数[can shu]，对servlet或JSP页面定义一个定制URL或分配[fen pei]一个安全角色，必须首先给servlet或JSP页面一个名称。可通过 servlet元素分配[fen pei]一个名称。最常见的格式包括servlet-name和servlet-class子元素（在web-app元素内），如下所示：
<servlet>
<servlet-name>Test</servlet-name>
<servlet-class>moreservlets.TestServlet</servlet-class>
</servlet>
这表示位于WEB-INF/classes/moreservlets/TestServlet的servlet已经得到了注册[zhu ce]名Test。给 servlet一个名称具有两个主要的含义。首先，初始化[chu shi hua]参数[can shu]、定制的URL模式[mo shi]以及其他定制通过此注册[zhu ce]名而不是类名引用[yin yong]此servlet。其次,可在 URL而不是类名中使用此名称。因此，利用刚才给出的定义，URL http://host/webAppPrefix/servlet/Test 可用于[yong yu] http://host/webAppPrefix/servlet/moreservlets.TestServlet 的场所。
请记住：XML元素不仅是大小写敏感[da xiao xie min gan]的，而且定义它们的次序也很重要。例如，web-app元素内所有servlet元素必须位于所有servlet- mapping元素（下一小节介绍）之前，而且还要位于5.6节和5.11节讨论的与过滤[guo lv]器[guo lv qi]或文档[wen dang]相关的元素（如果有的话）之前。类似地，servlet 的servlet-name子元素也必须出现在servlet-class之前。5.2节"部署描述符文件[wen jian]内的元素次序"将详细介绍这种必需的次序。
例如，程序清单5-1给出了一个名为TestServlet的简单servlet，它驻留在moreservlets程序包中。因为此servlet是扎根在一个名为deployDemo的目录中的Web应用[ying yong]的组成部分，所以TestServlet.class放在deployDemo/WEB- INF/classes/moreservlets中。程序清单5-2给出将放置在deployDemo/WEB-INF/内的web.xml文件[wen jian]的一部分。此web.xml文件[wen jian]使用servlet-name和servlet-class元素将名称Test与TestServlet.class相关联。图 5-1和图5-2分别显示[xian shi]利用缺省URL和注册[zhu ce]名调用[tiao yong][ming tiao yong]TestServlet时的结果。

程序清单5-1 TestServlet.java
package moreservlets;

import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;

/** Simple servlet used to illustrate servlet naming
* and custom URLs.
* <P>
* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/

public class TestServlet extends HttpServlet {
public void doGet(HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html");
PrintWriter out = response.getWriter();
String uri = request.getRequestURI();
out.println(ServletUtilities.headWithTitle("Test Servlet") +
"<BODY BGCOLOR=\"#FDF5E6\">\n" +
"<H2>URI: " + uri + "</H2>\n" +
"</BODY></HTML>");
}
}


程序清单5-2 web.xml（说明[shuo ming]servlet名称的摘录）
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
" http://java.sun.com/dtd/web-app_2_3.dtd ">

<web-app>
<!-- … -->
<servlet>
<servlet-name>Test</servlet-name>
<servlet-class>moreservlets.TestServlet</servlet-class>
</servlet>
<!-- … -->
</web-app>

3.2 定义定制的URL
大多数服务器[fu wu qi]具有一个缺省的serlvet URL：
http://host/webAppPrefix/servlet/packageName.ServletName 。虽然在开发中使用这个URL很方便，但是我们常常会希望[xi wang]另一个URL用于[yong yu]部署。例如，可能会需要一个出现在Web应用[ying yong]顶层的URL（如，http: //host/webAppPrefix/Anyname），并且在此URL中没有servlet项。位于顶层的URL简化了相对URL的使用。此外，对许多开发人员来说，顶层URL看上去比更长更麻烦的缺省URL更简短。
事实上，有时需要使用定制的URL。比如，你可能想关闭缺省URL映射[ying she]，以便更好地强制实施安全限制或防止用户[yong hu]意外地访问无初始化[chu shi hua]参数[can shu]的servlet。如果你禁止了缺省的URL，那么你怎样访问servlet呢？这时只有使用定制的URL了。
为了分配[fen pei]一个定制的URL，可使用servlet-mapping元素及其servlet-name和url-pattern子元素。Servlet- name元素提供了一个任意名称，可利用此名称引用[yin yong]相应的servlet；url-pattern描述了相对于Web应用[ying yong]的根目录[gen mu lu]的URL。url- pattern元素的值必须以斜杠（/）起始。
下面给出一个简单的web.xml摘录，它允许使用URL http://host/webAppPrefix/UrlTest 而不是 http://host/webAppPrefix/servlet/Test 或
http: //host/webAppPrefix/servlet/moreservlets.TestServlet。请注意，仍然需要XML头、 DOCTYPE声明[sheng ming]以及web-app封闭元素。此外，可回忆一下，XML元素出现地次序不是随意的。特别是，需要把所有servlet元素放在所有 servlet-mapping元素之前。
<servlet>
<servlet-name>Test</servlet-name>
<servlet-class>moreservlets.TestServlet</servlet-class>
</servlet>
<!-- ... -->
<servlet-mapping>
<servlet-name>Test</servlet-name>
<url-pattern>/UrlTest</url-pattern>
</servlet-mapping>
URL模式[mo shi]还可以包含通配符[tong pei fu]。例如，下面的小程序指示[zhi shi]服务器[fu wu qi]发送所有以Web应用[ying yong]的URL前缀[qian zhui]开始，以..asp结束的请求[qing qiu]到名为BashMS的servlet。
<servlet>
<servlet-name>BashMS</servlet-name>
<servlet-class>msUtils.ASPTranslator</servlet-class>
</servlet>
<!-- ... -->
<servlet-mapping>
<servlet-name>BashMS</servlet-name>
<url-pattern>/*.asp</url-pattern>
</servlet-mapping>

3.3 命名JSP页面
因为JSP页面要转换[zhuan huan]成sevlet，自然希望[xi wang]就像命名servlet一样命名JSP页面。毕竟，JSP页面可能会从初始化[chu shi hua]参数[can shu]、安全设置[she zhi]或定制的URL中受益，正如普通的serlvet那样。虽然JSP页面的后台[hou tai]实际上是servlet这句话是正确的，但存在一个关键的猜疑：即，你不知道JSP页面的实际类名（因为系统[xi tong]自己挑选这个名字）。因此，为了命名JSP页面，可将jsp-file元素替换[ti huan]为servlet-calss元素，如下所示：
<servlet>
<servlet-name>Test</servlet-name>
<jsp-file>/TestPage.jsp</jsp-file>
</servlet>
命名JSP页面的原因与命名servlet的原因完全相同：即为了提供一个与定制设置[she zhi]（如，初始化[chu shi hua]参数[can shu]和安全设置[she zhi]）一起使用的名称，并且，以便能更改激活[ji huo] JSP页面的URL（比方说，以便多个URL通过相同页面得以处理，或者从URL中去掉.jsp扩展[kuo zhan]名）。但是，在设置[she zhi]初始化[chu shi hua]参数[can shu]时，应该注意，JSP页面是利用jspInit方法[fang fa]，而不是init方法[fang fa]读取[du qu]初始化[chu shi hua]参数[can shu]的。
例如，程序清单5-3给出一个名为TestPage.jsp的简单JSP页面，它的工作只是打印出用来激活[ji huo]它的URL的本地部分。TestPage.jsp放置在deployDemo应用[ying yong]的顶层。程序清单5-4给出了用来分配[fen pei]一个注册[zhu ce]名PageName，然后将此注册[zhu ce]名与 http://host/webAppPrefix/UrlTest2/anything 形式的URL相关联的web.xml文件[wen jian]（即，deployDemo/WEB-INF/web.xml）的一部分。

程序清单5-3 TestPage.jsp
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD>
<TITLE>
JSP Test Page
</TITLE>
</HEAD>
<BODY BGCOLOR="#FDF5E6">
<H2>URI: <%= request.getRequestURI() %></H2>
</BODY>
</HTML>


程序清单5-4 web.xml（说明[shuo ming]JSP页命名的摘录）
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
" http://java.sun.com/dtd/web-app_2_3.dtd ">

<web-app>
<!-- ... -->
<servlet>
<servlet-name>PageName</servlet-name>
<jsp-file>/TestPage.jsp</jsp-file>
</servlet>
<!-- ... -->
<servlet-mapping>
<servlet-name> PageName </servlet-name>
<url-pattern>/UrlTest2/*</url-pattern>
</servlet-mapping>
<!-- ... -->
</web-app>

对servlet或JSP页面建立定制URL的一个原因是，这样做可以注册[zhu ce]从 init（servlet）或jspInit（JSP页面）方法[fang fa]中读取[du qu]得初始化[chu shi hua]参数[can shu]。但是，初始化[chu shi hua]参数[can shu]只在是利用定制URL模式[mo shi]或注册[zhu ce]名访问 servlet或JSP页面时可以使用，用缺省URL http://host/webAppPrefix/servlet/ServletName 访问时不能使用。因此，你可能会希望[xi wang]关闭缺省URL，这样就不会有人意外地调用[tiao yong]初始化[chu shi hua]servlet了。这个过程有时称为禁止激活[ji huo]器servlet，因为多数服务器[fu wu qi]具有一个用缺省的servlet URL注册[zhu ce]的标准servlet，并激活[ji huo]缺省的URL应用[ying yong]的实际servlet。
有两种禁止此缺省URL的主要方法[fang fa]：
l 在每个Web应用[ying yong]中重新映射[ying she]/servlet/模式[mo shi]。
l 全局关闭激活[ji huo]器servlet。
重要的是应该注意到，虽然重新映射[ying she]每个Web应用[ying yong]中的/servlet/模式[mo shi]比彻底禁止激活[ji huo]servlet所做的工作更多，但重新映射[ying she]可以用一种完全可移植[yi zhi][ke yi zhi]的方式来完成。相反，全局禁止激活[ji huo]器servlet完全是针对具体机器的，事实上有的服务器[fu wu qi]（如ServletExec）没有这样的选择[xuan ze]。下面的讨论对每个Web应用[ying yong]重新映射[ying she]/servlet/ URL模式[mo shi]的策略。后面提供在Tomcat中全局禁止激活[ji huo]器servlet的详细内容。

4.1 重新映射[ying she]/servlet/URL模式[mo shi]
在一个特定的Web应用[ying yong]中禁止以 http://host/webAppPrefix/servlet/ 开始的URL的处理非常简单。所需做的事情就是建立一个错误[cuo wu]消息[xiao xi]servlet，并使用前一节讨论的url-pattern元素将所有匹配请求[qing qiu]转向该 servlet。只要简单地使用：
<url-pattern>/servlet/*</url-pattern>
作为servlet-mapping元素中的模式[mo shi]即可。
例如，程序清单5-5给出了将SorryServlet servlet（程序清单5-6）与所有以 http://host/webAppPrefix/servlet/ 开头的URL相关联的部署描述符文件[wen jian]的一部分。

程序清单5-5 web.xml（说明[shuo ming]JSP页命名的摘录）
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
" http://java.sun.com/dtd/web-app_2_3.dtd ">

<web-app>
<!-- ... -->
<servlet>
<servlet-name>Sorry</servlet-name>
<servlet-class>moreservlets.SorryServlet</servlet-class>
</servlet>
<!-- ... -->
<servlet-mapping>
<servlet-name> Sorry </servlet-name>
<url-pattern>/servlet/*</url-pattern>
</servlet-mapping>
<!-- ... -->
</web-app>


程序清单5-6 SorryServlet.java
package moreservlets;

import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;

/** Simple servlet used to give error messages to
* users who try to access default servlet URLs
* (i.e., http://host/webAppPrefix/servlet/ServletName )
* in Web applications that have disabled this
* behavior.
* <P>
* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/

public class SorryServlet extends HttpServlet {
public void doGet(HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html");
PrintWriter out = response.getWriter();
String title = "Invoker Servlet Disabled.";
out.println(ServletUtilities.headWithTitle(title) +
"<BODY BGCOLOR=\"#FDF5E6\">\n" +
"<H2>" + title + "</H2>\n" +
"Sorry, access to servlets by means of\n" +
"URLs that begin with\n" +
" http://host/webAppPrefix/servlet/ \n" +
"has been disabled.\n" +
"</BODY></HTML>");
}

public void doPost(HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
doGet(request, response);
}
}


4.2 全局禁止激活[ji huo]器：Tomcat
Tomcat 4中用来关闭缺省URL的方法[fang fa]与Tomcat 3中所用的很不相同。下面介绍这两种方法[fang fa]：
1．禁止激活[ji huo]器： Tomcat 4
Tomcat 4用与前面相同的方法[fang fa]关闭激活[ji huo]器servlet，即利用web.xml中的url-mapping元素进行关闭。不同之处在于Tomcat使用了放在 install_dir/conf中的一个服务器[fu wu qi]专用[zhuan yong]的全局web.xml文件[wen jian]，而前面使用的是存放在每个Web应用[ying yong]的WEB-INF目录中的标准 web.xml文件[wen jian]。
因此，为了在Tomcat 4中关闭激活[ji huo]器servlet，只需在install_dir/conf/web.xml中简单地注释[zhu shi]出/servlet/* URL映射[ying she]项即可，如下所示：
<!--
<servlet-mapping>
<servlet-name>invoker</servlet-name>
<url-pattern>/servlet/*</url-pattern>
</servlet-mapping>
-->
再次提醒，应该注意这个项是位于存放在install_dir/conf的Tomcat专用[zhuan yong]的web.xml文件[wen jian]中的，此文件[wen jian]不是存放在每个Web应用[ying yong]的WEB-INF目录中的标准web.xml。
2．禁止激活[ji huo]器：Tomcat3
在Apache Tomcat的版本3中，通过在install_dir/conf/server.xml中注释[zhu shi]出InvokerInterceptor项全局禁止缺省 servlet URL。例如，下面是禁止使用缺省servlet URL的server.xml文件[wen jian]的一部分。
<!--
<RequsetInterceptor
className="org.apache.tomcat.request.InvokerInterceptor"
debug="0" prefix="/servlet/" />
-->

这里讨论控制[kong zhi]servlet和JSP页面的启动[qi dong]行为的方法[fang fa]。特别是，说明[shuo ming]了怎样分配[fen pei]初始化[chu shi hua]参数[can shu]以及怎样更改服务器[fu wu qi]生存期[sheng cun qi]中装载servlet和JSP页面的时刻。

5.1 分配[fen pei]servlet初始化[chu shi hua]参数[can shu]
利用init-param元素向servlet提供初始化[chu shi hua]参数[can shu]，init-param元素具有param-name和param-value子元素。例如，在下面的例子中，如果initServlet servlet是利用它的注册[zhu ce]名（InitTest）访问的，它将能够从其方法[fang fa]中调用[tiao yong]getServletConfig(). getInitParameter("param1")获得"Value 1"，调用[tiao yong]getServletConfig().getInitParameter("param2")获得"2"。
<servlet>
<servlet-name>InitTest</servlet-name>
<servlet-class>moreservlets.InitServlet</servlet-class>
<init-param>
<param-name>param1</param-name>
<param-value>value1</param-value>
</init-param>
<init-param>
<param-name>param2</param-name>
<param-value>2</param-value>
</init-param>
</servlet>
在涉及初始化[chu shi hua]参数[can shu]时，有几点需要注意：
l 返回值。GetInitParameter的返回值总是一个String。因此，在前一个例子中，可对param2使用Integer.parseInt获得一个int。
l JSP中的初始化[chu shi hua]。JSP页面使用jspInit而不是init。JSP页面还需要使用jsp-file元素代替servlet-class。
l 缺省URL。初始化[chu shi hua]参数[can shu]只在通过它们的注册[zhu ce]名或与它们注册[zhu ce]名相关的定制URL模式[mo shi]访问Servlet时可以使用。因此，在这个例子中，param1和 param2初始化[chu shi hua]参数[can shu]将能够在使用URL http://host/webAppPrefix/servlet/InitTest 时可用，但在使用URL http://host/webAppPrefix/servlet/myPackage.InitServlet 时不能使用。
例如，程序清单5-7给出一个名为InitServlet的简单servlet，它使用init方法[fang fa]设置[she zhi]firstName和emailAddress字段[zi duan]。程序清单5-8给出分配[fen pei]名称InitTest给servlet的web.xml文件[wen jian]。
程序清单5-7 InitServlet.java
package moreservlets;

import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;

/** Simple servlet used to illustrate servlet
* initialization parameters.
* <P>
* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/

public class InitServlet extends HttpServlet {
private String firstName, emailAddress;

public void init() {
ServletConfig config = getServletConfig();
firstName = config.getInitParameter("firstName");
emailAddress = config.getInitParameter("emailAddress");
}

public void doGet(HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html");
PrintWriter out = response.getWriter();
String uri = request.getRequestURI();
out.println(ServletUtilities.headWithTitle("Init Servlet") +
"<BODY BGCOLOR=\"#FDF5E6\">\n" +
"<H2>Init Parameters:</H2>\n" +
"<UL>\n" +
"<LI>First name: " + firstName + "\n" +
"<LI>Email address: " + emailAddress + "\n" +
"</UL>\n" +
"</BODY></HTML>");
}
}


程序清单5-8 web.xml（说明[shuo ming]初始化[chu shi hua]参数[can shu]的摘录）
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
" http://java.sun.com/dtd/web-app_2_3.dtd ">

<web-app>
<!-- ... -->
<servlet>
<servlet-name>InitTest</servlet-name>
<servlet-class>moreservlets.InitServlet</servlet-class>
<init-param>
<param-name>firstName</param-name>
<param-value>Larry</param-value>
</init-param>
<init-param>
<param-name>emailAddress</param-name>
<param-value> Ellison@Microsoft.com </param-value>
</init-param>
</servlet>
<!-- ... -->
</web-app>

5.2 分配[fen pei]JSP初始化[chu shi hua]参数[can shu]
给JSP页面提供初始化[chu shi hua]参数[can shu]在三个方面不同于给servlet提供初始化[chu shi hua]参数[can shu]。
1）使用jsp-file而不是servlet-class。因此，WEB-INF/web.xml文件[wen jian]的servlet元素如下所示：
<servlet>
<servlet-name>PageName</servlet-name>
<jsp-file>/RealPage.jsp</jsp-file>
<init-param>
<param-name>...</param-name>
<param-value>...</param-value>
</init-param>
...
</servlet>
2) 几乎总是分配[fen pei]一个明确的URL模式[mo shi]。对servlet，一般相应地使用以 http://host/webAppPrefix/servlet/ 开始的缺省URL。只需记住，使用注册[zhu ce]名而不是原名称即可。这对于JSP页面在技术上也是合法的。例如，在上面给出的例子中，可用URL http://host/webAppPrefix/servlet/PageName 访问RealPage.jsp的对初始化[chu shi hua]参数[can shu]具有访问权[fang wen quan]的版本。但在用于[yong yu]JSP页面时，许多用户[yong hu][duo yong hu]似乎不喜欢应用[ying yong]常规的servlet的URL。此外，如果 JSP页面位于服务器[fu wu qi]为其提供了目录清单的目录中（如，一个既没有index.html也没有index.jsp文件[wen jian]的目录），则用户[yong hu]可能会连接[lian jie]到此 JSP页面，单击[dan ji]它，从而意外地激活[ji huo]未初始化[chu shi hua]的页面。因此，好的办法是使用url-pattern（5.3节）将JSP页面的原URL与注册[zhu ce]的 servlet名相关联。这样，客户[ke hu]机可使用JSP页面的普通名称，但仍然激活[ji huo]定制的版本。例如，给定来自项目[xiang mu]1的servlet定义，可使用下面的 servlet-mapping定义：
<servlet-mapping>
<servlet-name>PageName</servlet-name>
<url-pattern>/RealPage.jsp</url-pattern>
</servlet-mapping>
3）JSP页使用jspInit而不是init。自动从JSP页面建立的servlet或许已经使用了inti方法[fang fa]。因此，使用JSP声明[sheng ming]提供一个init方法[fang fa]是不合法的，必须制定jspInit方法[fang fa]。
为了说明[shuo ming]初始化[chu shi hua]JSP页面的过程，程序清单5-9给出了一个名为InitPage.jsp的JSP页面，它包含一个jspInit方法[fang fa]且放置于 deployDemo Web应用[ying yong]层[ying yong ceng]次结构[jie gou][ceng ci jie gou]的顶层。一般， http://host/deployDemo/InitPage.jsp 形式的URL将激活[ji huo]此页面的不具有初始化[chu shi hua]参数[can shu]访问权[fang wen quan]的版本，从而将对firstName和emailAddress变量[bian liang]显示[xian shi]null。但是， web.xml文件[wen jian]（程序清单5-10）分配[fen pei]了一个注册[zhu ce]名，然后将该注册[zhu ce]名与URL模式[mo shi]/InitPage.jsp相关联。

程序清单5-9 InitPage.jsp
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD><TITLE>JSP Init Test</TITLE></HEAD>
<BODY BGCOLOR="#FDF5E6">
<H2>Init Parameters:</H2>
<UL>
<LI>First name: <%= firstName %>
<LI>Email address: <%= emailAddress %>
</UL>
</BODY></HTML>
<%!
private String firstName, emailAddress;

public void jspInit() {
ServletConfig config = getServletConfig();
firstName = config.getInitParameter("firstName");
emailAddress = config.getInitParameter("emailAddress");
}
%>


程序清单5-10 web.xml（说明[shuo ming]JSP页面的init参数[can shu]的摘录）
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
" http://java.sun.com/dtd/web-app_2_3.dtd ">

<web-app>
<!-- ... -->
<servlet>
<servlet-name>InitPage</servlet-name>
<jsp-file>/InitPage.jsp</jsp-file>
<init-param>
<param-name>firstName</param-name>
<param-value>Bill</param-value>
</init-param>
<init-param>
<param-name>emailAddress</param-name>
<param-value> gates@oracle.com </param-value>
</init-param>
</servlet>
<!-- ... -->
<servlet-mapping>
<servlet-name> InitPage</servlet-name>
<url-pattern>/InitPage.jsp</url-pattern>
</servlet-mapping>
<!-- ... -->
</web-app>

5.3 提供应用[ying yong]范围[fan wei]内的初始化[chu shi hua]参数[can shu]
一般，对单个地servlet或JSP页面分配[fen pei]初始化[chu shi hua]参数[can shu]。指定的servlet或JSP页面利用ServletConfig的getInitParameter方法[fang fa]读取[du qu]这些参数[can shu]。但是，在某些情形下，希望[xi wang]提供可由任意servlet或JSP页面借助ServletContext的getInitParameter方法[fang fa]读取[du qu]的系统[xi tong]范围[fan wei]内的初始化[chu shi hua]参数[can shu]。
可利用context-param元素声明[sheng ming]这些系统[xi tong]范围[fan wei]内的初始化[chu shi hua]值。context-param元素应该包含param-name、param-value以及可选的description子元素，如下所示：
<context-param>
<param-name>support-email</param-name>
<param-value> blackhole@mycompany.com </param-value>
</context-param>
可回忆一下，为了保证可移植[yi zhi][ke yi zhi]性[ke yi zhi xing]，web.xml内的元素必须以正确的次序声明[sheng ming]。但这里应该注意，context-param元素必须出现任意与文档[wen dang]有关的元素（icon、display-name或description）之后及filter、filter-mapping、listener或 servlet元素之前。

5.4 在服务器[fu wu qi]启动[qi dong]时装载servlet
假如servlet或JSP页面有一个要花很长时间执行[zhi hang]的init （servlet）或jspInit（JSP）方法[fang fa]。例如，假如init或jspInit方法[fang fa]从某个数据[shu ju]库[shu ju ku]或ResourceBundle查找[cha zhao]产量。这种情况[qing kuang]下，在第一个客户[ke hu]机请求[qing qiu]时装载servlet的缺省行为将对第一个客户[ke hu]机产生较长时间的延迟[yan chi]。因此，可利用servlet的load-on- startup元素规定服务器[fu wu qi]在第一次启动[qi dong]时装载servlet。下面是一个例子。
<servlet>
<servlet-name> … </servlet-name>
<servlet-class> … </servlet-class> <!-- Or jsp-file -->
<load-on-startup/>
</servlet>
可以为此元素体提供一个整数而不是使用一个空的load-on-startup。想法是服务器[fu wu qi]应该在装载较大数目的servlet或JSP页面之前装载较少数目的servlet或JSP页面。例如，下面的servlet项（放置在Web应用[ying yong]的WEB-INF目录下的web.xml文件[wen jian]中的web-app元素内）将指示[zhi shi]服务器[fu wu qi]首先装载和初始化[chu shi hua]SearchServlet，然后装载和初始化[chu shi hua]由位于Web应用[ying yong]的result目录中的index.jsp文件[wen jian]产生的 servlet。
<servlet>
<servlet-name>Search</servlet-name>
<servlet-class>myPackage.SearchServlet</servlet-class> <!-- Or jsp-file -->
<load-on-startup>1</load-on-startup>
</servlet>
<servlet>
<servlet-name>Results</servlet-name>
<servlet-class>/results/index.jsp</servlet-class> <!-- Or jsp-file -->
<load-on-startup>2</load-on-startup>
</servlet>

servlet版本2.3引入了过滤[guo lv]器[guo lv qi]的概念。虽然所有支持[zhi chi]servlet API版本2.3的服务器[fu wu qi]都支持[zhi chi]过滤[guo lv]器[guo lv qi]，但为了使用与过滤[guo lv]器[guo lv qi]有关的元素，必须在web.xml中使用版本2.3的DTD。
过滤[guo lv]器[guo lv qi]可截取和修改[xiu gai]进入一个servlet或JSP页面的请求[qing qiu]或从一个servlet或JSP页面发出的相应。在执行[zhi hang]一个servlet或JSP页面之前，必须执行[zhi hang]第一个相关的过滤[guo lv]器[guo lv qi]的doFilter方法[fang fa]。在该过滤[guo lv]器[guo lv qi]对其FilterChain对象[dui xiang]调用[tiao yong]doFilter时，执行[zhi hang]链中的下一个过滤[guo lv]器[guo lv qi]。如果没有其他过滤[guo lv]器[guo lv qi]，servlet或JSP页面被执行[zhi hang]。过滤[guo lv]器[guo lv qi]具有对到来的ServletRequest对象[dui xiang]的全部访问权[fang wen quan]，因此，它们可以查看客户[ke hu]机名、查找[cha zhao]到来的cookie等。为了访问servlet或JSP页面的输出[shu chu]，过滤[guo lv]器[guo lv qi]可将响应[xiang ying]对象[dui xiang]包裹在一个替身对象[dui xiang]（stand-in object）中，比方说把输出[shu chu]累加到一个缓冲区。在调用[tiao yong]FilterChain对象[dui xiang]的doFilter方法[fang fa]之后，过滤[guo lv]器[guo lv qi]可检查缓冲区，如有必要，就对它进行修改[xiu gai]，然后传送[chuan song]到客户[ke hu]机。
例如，程序清单5-11帝国难以了一个简单的过滤[guo lv]器[guo lv qi]，只要访问相关的servlet或JSP页面，它就截取请求[qing qiu]并在标准输出[shu chu][biao zhun shu chu]上打印一个报告（开发过程[kai fa guo cheng]中在桌面[zhuo mian]系统[xi tong]上运行[yun hang]时[yun hang shi]，大多数服务器[fu wu qi]都可以使用这个过滤[guo lv]器[guo lv qi]）。

程序清单5-11 ReportFilter.java
package moreservlets;

import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
import java.util.*;

/** Simple filter that prints a report on the standard output
* whenever the associated servlet or JSP page is accessed.
* <P>
* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/

public class ReportFilter implements Filter {
public void doFilter(ServletRequest request,
ServletResponse response,
FilterChain chain)
throws ServletException, IOException {
HttpServletRequest req = (HttpServletRequest)request;
System.out.println(req.getRemoteHost() +
" tried to access " +
req.getRequestURL() +
" on " + new Date() + ".");
chain.doFilter(request,response);
}

public void init(FilterConfig config)
throws ServletException {
}

public void destroy() {}
}

一旦建立了一个过滤[guo lv]器[guo lv qi]，可以在web.xml中利用filter元素以及filter-name（任意名称）、file-class（完全限定的类名）和（可选的）init-params子元素声明[sheng ming]它。请注意，元素在web.xml的web-app元素中出现的次序不是任意的；允许服务器[fu wu qi]（但不是必需的）强制所需的次序，并且实际中有些服务器[fu wu qi]也是这样做的。但这里要注意，所有filter元素必须出现在任意filter-mapping元素之前， filter-mapping元素又必须出现在所有servlet或servlet-mapping元素之前。
例如，给定上述的ReportFilter类，可在web.xml中作出下面的filter声明[sheng ming]。它把名称Reporter与实际的类ReportFilter（位于moreservlets程序包中）相关联。
<filter>
<filter-name>Reporter</filter-name>
<filter-class>moresevlets.ReportFilter</filter-class>
</filter>
一旦命名了一个过滤[guo lv]器[guo lv qi]，可利用filter-mapping元素把它与一个或多个servlet或JSP页面相关联。关于此项工作有两种选择[xuan ze]。
首先，可使用filter-name和servlet-name子元素把此过滤[guo lv]器[guo lv qi]与一个特定的servlet名（此servlet名必须稍后在相同的 web.xml文件[wen jian]中使用servlet元素声明[sheng ming]）关联。例如，下面的程序片断[pian duan]指示[zhi shi]系统[xi tong]只要利用一个定制的URL访问名为SomeServletName 的servlet或JSP页面，就运行[yun hang]名为Reporter的过滤[guo lv]器[guo lv qi]。
<filter-mapping>
<filter-name>Reporter</filter-name>
<servlet-name>SomeServletName</servlet-name>
</filter-mapping>
其次，可利用filter-name和url-pattern子元素将过滤[guo lv]器[guo lv qi]与一组servlet、JSP页面或静态内容相关联。例如，相面的程序片段[pian duan]指示[zhi shi]系统[xi tong]只要访问Web应用[ying yong]中的任意URL，就运行[yun hang]名为Reporter的过滤[guo lv]器[guo lv qi]。
<filter-mapping>
<filter-name>Reporter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
例如，程序清单5-12给出了将ReportFilter过滤[guo lv]器[guo lv qi]与名为PageName的servlet相关联的web.xml文件[wen jian]的一部分。名字 PageName依次又与一个名为TestPage.jsp的JSP页面以及以模式[mo shi]http: //host/webAppPrefix/UrlTest2/ 开头的URL相关联。TestPage.jsp的源代码[dai ma][yuan dai ma]已经JSP页面命名的谈论在前面的3节"分配[fen pei]名称和定制的URL"中给出。事实上，程序清单5- 12中的servlet和servlet-name项从该节原封不动地拿过来的。给定这些web.xml项，可看到下面的标准输出[shu chu][biao zhun shu chu]形式的调试[tiao shi]报告（换行[huan hang]是为了容易阅读）。
audit.irs.gov tried to access
http://mycompany.com/deployDemo/UrlTest2/business/tax-plan.html
on Tue Dec 25 13:12:29 EDT 2001.

程序清单5-12 Web.xml（说明[shuo ming]filter用法的摘录）
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
" http://java.sun.com/dtd/web-app_2_3.dtd ">

<web-app>
<filter>
<filter-name>Reporter</filter-name>
<filter-class>moresevlets.ReportFilter</filter-class>
</filter>
<!-- ... -->
<filter-mapping>
<filter-name>Reporter</filter-name>
<servlet-name>PageName</servlet-name>
</filter-mapping>
<!-- ... -->
<servlet>
<servlet-name>PageName</servlet-name>
<jsp-file>/RealPage.jsp</jsp-file>
</servlet>
<!-- ... -->
<servlet-mapping>
<servlet-name> PageName </servlet-name>
<url-pattern>/UrlTest2/*</url-pattern>
</servlet-mapping>
<!-- ... -->
</web-app>

假如用户[yong hu]提供了一个像http: //host/webAppPrefix/directoryName/ 这样的包含一个目录名但没有包含文件[wen jian]名[wen jian ming]的URL，会发生什么事情呢？用户[yong hu]能得到一个目录表？一个错误[cuo wu]？还是标准文件[wen jian][biao zhun wen jian]的内容？如果得到标准文件[wen jian][biao zhun wen jian]内容，是 index.html、index.jsp、default.html、default.htm或别的什么东西呢？
Welcome-file-list 元素及其辅助的welcome-file元素解决了这个模糊[mo hu]的问题[wen ti]。例如，下面的web.xml项指出，如果一个URL给出一个目录名但未给出文件[wen jian]名[wen jian ming]，服务器[fu wu qi]应该首先试用index.jsp，然后再试用index.html。如果两者都没有找到，则结果有赖于所用的服务器[fu wu qi]（如一个目录列表[lie biao]）。
<welcome-file-list>
<welcome-file>index.jsp</welcome-file>
<welcome-file>index.html</welcome-file>
</welcome-file-list>
虽然许多服务器[fu wu qi]缺省遵循这种行为，但不一定必须这样。因此，明确地使用welcom-file-list保证可移植[yi zhi][ke yi zhi]性[ke yi zhi xing]是一种良好的习惯。

现在我了解到，你在开发servlet和JSP页面时从不会犯错误[cuo wu]，而且你的所有页面是那样的清晰[qing xi]，一般的程序员[cheng xu yuan]都不会被它们的搞糊涂。但是，是人总会犯错误[cuo wu]的，用户[yong hu]可能会提供不合规定的参数[can shu]，使用不正确的URL或者不能提供必需的表单字段[zi duan]值。除此之外，其它开发人员可能不那么细心，他们应该有些工具来克服自己的不足。
error-page元素就是用来克服这些问题[wen ti]的。它有两个可能的子元素，分别是：error-code和exception- type。第一个子元素error-code指出在给定的HTTP错误[cuo wu]代码[dai ma][cuo wu dai ma]出现时使用的URL。第二个子元素excpetion-type指出在出现某个给定的Java异常[yi chang]但未捕捉到时使用的URL。error-code和exception-type都利用location元素指出相应的URL。此 URL必须以/开始。location所指出的位置[wei zhi]处的页面可通过查找[cha zhao]HttpServletRequest对象[dui xiang]的两个专门的属性[shu xing]来访问关于错误[cuo wu]的信息[xin xi]，这两个属性[shu xing]分别是：javax.servlet.error.status_code和javax.servlet.error.message。
可回忆一下，在web.xml内以正确的次序声明[sheng ming]web-app的子元素很重要。这里只要记住，error-page出现在web.xml文件[wen jian]的末尾附近，servlet、servlet-name和welcome-file-list之后即可。

8.1 error-code元素
为了更好地了解error-code元素的值，可考虑一下如果不正确地输入[shu ru]文件[wen jian]名[wen jian ming]，大多数站点[zhan dian]会作出什么反映。这样做一般会出现一个404错误[cuo wu]信息[xin xi]，它表示不能找到该文件[wen jian]，但几乎没提供更多有用的信息[xin xi]。另一方面，可以试一下在 www.microsoft.com 、 www.ibm.com 处或者特别是在 www.bea.com 处输出[shu chu]未知的文件[wen jian]名[wen jian ming]。这是会得出有用的消息[xiao xi]，这些消息[xiao xi]提供可选择[xuan ze]的位置[wei zhi]，以便查找[cha zhao]感兴趣的页面。提供这样有用的错误[cuo wu]页面对于Web应用[ying yong]来说是很有价值得。事实上rm-error-page子元素）。由form-login-page给出的HTML表单必须具有一个j_security_check的 ACTION属性[shu xing]、一个名为j_username的用户[yong hu]名[yong hu ming]文本[wen ben]字段[zi duan]以及一个名为j_password的口令[kou ling]字段[zi duan]。
例如，程序清单5-19指示[zhi shi]服务器[fu wu qi]使用基于表单的验证[yan zheng]。Web应用[ying yong]的顶层目录中的一个名为login.jsp的页面将收集用户[yong hu]名[yong hu ming]和口令[kou ling]，并且失败的登陆将由相同目录中名为login-error.jsp的页面报告。

程序清单5-19 web.xml（说明[shuo ming]login-config的摘录）
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
" http://java.sun.com/dtd/web-app_2_3.dtd ">

<web-app>
<!-- ... -->
<security-constraint> ... </security-constraint>
<login-config>
<auth-method> FORM </auth-method>
<form-login-config>
<form-login-page>/login.jsp</form-login-page>
<form-error-page>/login-error.jsp</form-error-page>
</form-login-config>
</login-config>
<!-- ... -->
</web-app>


8.2 限制对Web资源[zi yuan]的访问
现在，可以指示[zhi shi]服务器[fu wu qi]使用何种验证[yan zheng]方法[fang fa]了。"了不起，"你说道，"除非我能指定一个来收到保护的 URL，否则没有多大用处。"没错。指出这些URL并说明[shuo ming]他们应该得到何种保护正是security-constriaint元素的用途。此元素在 web.xml中应该出现在login-config的紧前面。它包含是个可能的子元素，分别是：web-resource-collection、 auth-constraint、user-data-constraint和display-name。下面各小节对它们进行介绍。
l web-resource-collection
此元素确定应该保护的资源[zi yuan]。所有security-constraint元素都必须包含至少一个web-resource-collection项。此元素由一个给出任意标识[biao shi]名称的web-resource-name元素、一个确定应该保护的URL的url-pattern元素、一个指出此保护所适用的 HTTP命令[ming ling]（GET、POST等，缺省为所有方法[fang fa]）的http-method元素和一个提供资料的可选description元素组成。例如，下面的 Web-resource-collection项（在security-constratint元素内）指出Web应用[ying yong]的proprietary目录中所有文档[wen dang]应该受到保护。
<security-constraint>
<web-resource-coolection>
<web-resource-name>Proprietary</web-resource-name>
<url-pattern>/propritary/*</url-pattern>
</web-resource-coolection>
<!-- ... -->
</security-constraint>
重要的是应该注意到，url-pattern仅适用于[yong yu]直接访问[zhi jie fang wen]这些资源[zi yuan]的客户[ke hu]机。特别是，它不适合于通过Mvc体系结构[jie gou][ti xi jie gou]利用 RequestDispatcher来访问的页面，或者不适合于利用类似jsp:forward的手段来访问的页面。这种不匀称如果利用得当的话很有好处。例如，servlet可利用MVC体系结构[jie gou][ti xi jie gou]查找[cha zhao]数据[shu ju]，把它放到bean中，发送请求[qing qiu]到从bean中提取[ti qu]数据[shu ju]的JSP页面并显示[xian shi]它。我们希望[xi wang]保证决不直接访问[zhi jie fang wen]受保护的JSP页面，而只是通过建立该页面将使用的bean的servlet来访问它。url-pattern和auth-contraint元素可通过声明[sheng ming]不允许任何用户[yong hu]直接访问[zhi jie fang wen]JSP页面来提供这种保证。但是，这种不匀称的行为可能让开发人员放松警惕，使他们偶然对应受保护的资源[zi yuan]提供不受限制的访问。
l auth-constraint
尽管web-resource-collention元素质出了哪些URL应该受到保护，但是auth-constraint元素却指出哪些用户[yong hu]应该具有受保护资源[zi yuan][shou bao hu zi yuan]的访问权[fang wen quan]。此元素应该包含一个或多个标识[biao shi]具有访问权[fang wen quan]限的用户[yong hu]类别role- name元素，以及包含（可选）一个描述角色的description元素。例如，下面web.xml中的security-constraint元素部门规定只有指定为Administrator或Big Kahuna（或两者）的用户[yong hu]具有指定资源[zi yuan]的访问权[fang wen quan]。
<security-constraint>
<web-resource-coolection> ... </web-resource-coolection>
<auth-constraint>
<role-name>administrator</role-name>
<role-name>kahuna</role-name>
</auth-constraint>
</security-constraint>
重要的是认识到，到此为止，这个过程的可移植[yi zhi][ke yi zhi]部分结束了。服务器[fu wu qi]怎样确定哪些用户[yong hu]处于任何角色以及它怎样存放用户[yong hu]的口令[kou ling]，完全有赖于具体的系统[xi tong]。
例如，Tomcat使用install_dir/conf/tomcat-users.xml将用户[yong hu]名[yong hu ming]与角色名和口令[kou ling]相关联，正如下面例子中所示，它指出用户[yong hu]joe（口令[kou ling]bigshot）和jane（口令[kou ling]enaj）属于administrator和kahuna角色。
<tomcat-users>
<user name="joe" password="bigshot" roles="administrator,kahuna" />
<user name="jane" password="enaj" roles="kahuna" />
</tomcat-users>
l user-data-constraint
这个可选的元素指出在访问相关资源[zi yuan]时使用任何传输[chuan shu]层保护。它必须包含一个transport-guarantee子元素（合法值为NONE、 INTEGRAL或CONFIDENTIAL），并且可选地包含一个description元素。transport-guarantee为NONE值将对所用的通讯协议[xie yi]不加限制。INTEGRAL值表示数据[shu ju]必须以一种防止截取它的人阅读它的方式传送[chuan song]。虽然原理上（并且在未来的HTTP版本中），在 INTEGRAL和CONFIDENTIAL之间可能会有差别，但在当前实践中，他们都只是简单地要求用SSL。例如，下面指示[zhi shi]服务器[fu wu qi]只允许对相关资源[zi yuan]做 HTTPS连接[lian jie]：
<security-constraint>
<!-- ... -->
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
l display-name
security-constraint的这个很少使用的子元素给予可能由GUI工具使用的安全约束[yue shu]项一个名称。

8.3 分配[fen pei]角色名
迄今为止，讨论已经集中到完全由容器（服务器[fu wu qi]）处理的安全问题[wen ti]之上了。但servlet以及JSP页面也能够处理它们自己的安全问题[wen ti]。
例如，容器可能允许用户[yong hu]从bigwig或bigcheese角色访问一个显示[xian shi]主管人员额外紧贴的页面，但只允许bigwig用户[yong hu]修改[xiu gai]此页面的参数[can shu]。完成这种更细致的控制[kong zhi]的一种常见方法[fang fa]是调用[tiao yong]HttpServletRequset的isUserInRole方法[fang fa]，并据此修改[xiu gai]访问。
Servlet的 security-role-ref子元素提供出现在服务器[fu wu qi]专用[zhuan yong]口令[kou ling]文件[wen jian]中的安全角色名的一个别名[bie ming]。例如，假如编写了一个调用[tiao yong] request.isUserInRole（"boss"）的servlet，但后来该servlet被用在了一个其口令[kou ling]文件[wen jian]调用[tiao yong]角色manager而不是boss的服务器[fu wu qi]中。下面的程序段[cheng xu duan]使该servlet能够使用这两个名称中的任何一个。
<servlet>
<!-- ... -->
<security-role-ref>
<role-name>boss</role-name> <!-- New alias -->
<role-link>manager</role-link> <!-- Real name -->
</security-role-ref>
</servlet>
也可以在web-app内利用security-role元素提供将出现在role-name元素中的所有安全角色的一个全局列表[lie biao]。分别地生命角色使高级IDE容易处理安全信息[xin xi]。

如果某个会话[hui hua]在一定的时间内未被访问，服务器[fu wu qi]可把它扔掉以节约内存[nei cun]。可利用HttpSession的setMaxInactiveInterval方法[fang fa]直接设置[she zhi]个别会话[hui hua]对象[dui xiang]的超时[chao shi]值。如果不采用这种方法[fang fa]，则缺省的超时[chao shi]值由具体的服务器[fu wu qi]决定。但可利用session-config和session- timeout元素来给出一个适用于[yong yu]所有服务器[fu wu qi]的明确的超时[chao shi]值。超时[chao shi]值的单位[dan wei]为分钟，因此，下面的例子设置[she zhi]缺省会话[hui hua]超时[chao shi]值为三个小时（180分钟）。
<session-config>
<session-timeout>180</session-timeout>
</session-config>

越来越多的开发环境[kai fa huan jing]开始提供servlet和JSP的直接支持[zhi chi]。例子有Borland Jbuilder Enterprise Edition、Macromedia UltraDev、Allaire JRun Studio（写此文时，已被Macromedia收购）以及IBM VisuaAge for Java等。
大量的web.xml元素不仅是为服务器[fu wu qi]设计的，而且还是为可视[ke shi]开发环境[kai fa huan jing]设计的。它们包括icon、display-name和discription等。
可回忆一下，在web.xml内以适当地次序声明[sheng ming]web-app子元素很重要。不过，这里只要记住icon、display-name和description是web.xml的web-app元素内的前三个合法元素即可。
l icon
icon元素指出GUI工具可用来代表Web应用[ying yong]的一个和两个图像[tu xiang]文件[wen jian]。可利用small-icon元素指定一幅16 x 16的GIF或JPEG图像[tu xiang]，用large-icon元素指定一幅32 x 32的图像[tu xiang]。下面举一个例子：
<icon>
<small-icon>/images/small-book.gif</small-icon>
<large-icon>/images/tome.jpg</large-icon>
</icon>
l display-name
display-name元素提供GUI工具可能会用来标记[biao ji]此Web应用[ying yong]的一个名称。下面是个例子。
<display-name>Rare Books</display-name>
l description
description元素提供解释[jie shi]性文本[wen ben]，如下所示：
<description>
This Web application represents the store developed for
rare-books.com, an online bookstore specializing in rare
and limited-edition books.
</description>

服务器[fu wu qi]一般都具有一种让Web站点[zhan dian]管理员[guan li yuan]将文件[wen jian]扩展[kuo zhan]名与媒体[mei ti]相关联的方法[fang fa]。例如，将会自动给予名为mom.jpg的文件[wen jian]一个image/jpeg的MIME 类型[lei xing]。但是，假如你的Web应用[ying yong]具有几个不寻常的文件[wen jian]，你希望[xi wang]保证它们在发送到客户[ke hu]机时分配[fen pei]为某种MIME类型[lei xing]。mime-mapping元素（具有 extension和mime-type子元素）可提供这种保证。例如，下面的代码[dai ma]指示[zhi shi]服务器[fu wu qi]将application/x-fubar的MIME类型[lei xing]分配[fen pei]给所有以.foo结尾的文件[wen jian]。
<mime-mapping>
<extension>foo</extension>
<mime-type>application/x-fubar</mime-type>
</mime-mapping>
或许，你的Web应用[ying yong]希望[xi wang]重载[zhong zai]（override）标准的映射[ying she]。例如，下面的代码[dai ma]将告诉服务器[fu wu qi]在发送到客户[ke hu]机时指定.ps文件[wen jian]作为纯文本[wen ben]（text/plain）而不是作为PostScript（application/postscript）。
<mime-mapping>
<extension>ps</extension>
<mime-type>application/postscript</mime-type>
</mime-mapping>

JSP taglib元素具有一个必要的uri属性[shu xing]，它给出一个TLD（Tag Library Descriptor）文件[wen jian]相对于Web应用[ying yong]的根的位置[wei zhi]。TLD文件[wen jian]的实际名称在发布新的标签库版本时可能会改变，但我们希望[xi wang]避免更改所有现有JSP页面。此外，可能还希望[xi wang]使用保持taglib元素的简练性的一个简短的uri。这就是部署描述符文件[wen jian]的taglib元素派用场的所在了。Taglib包含两个子元素：taglib-uri和taglib-location。taglib-uri元素应该与用于[yong yu]JSP taglib元素的uri属性[shu xing]的东西相匹配。Taglib-location元素给出TLD文件[wen jian]的实际位置[wei zhi]。例如，假如你将文件[wen jian]chart-tags- 1.3beta.tld放在WebApp/WEB-INF/tlds中。现在，假如web.xml在web-app元素内包含下列内容。
<taglib>
<taglib-uri>/charts.tld</taglib-uri>
<taglib-location>
/WEB-INF/tlds/chart-tags-1.3beta.tld
</taglib-location>
</taglib>
给出这个说明[shuo ming]后，JSP页面可通过下面的简化形式使用标签库。
<%@ taglib uri="/charts.tld" prefix="somePrefix" %>