用web.xml控制Web應用的行為
這表示位於WEB-INF/classes/moreservlets/TestServlet的servlet已經得到了註冊名Test。給servlet一個名稱具有兩個主要的含義。首先,初始化引數、定製的URL模式以及其他定製通過此註冊名而不是類名引用此servlet。其次,可在URL而不是類名中使用此名稱。因此,利用剛才給出的定義,URL http://host/webAppPrefix/servlet/Test 可用於 http://host/webAppPrefix/servlet/moreservlets.TestServlet 的場所。
請記住:XML元素不僅是大小寫敏感的,而且定義它們的次序也很重要。例如,web-app元素內所有servlet元素必須位於所有servlet-mapping元素(下一小節介紹)之前,而且還要位於5.6節和5.11節討論的與過濾器或文件相關的元素(如果有的話)之前。類似地,servlet的servlet-name子元素也必須出現在servlet-class之前。5.2節"部署描述符檔案內的元素次序"將詳細介紹這種必需的次序。
例如,程式清單5-1給出了一個名為TestServlet的簡單servlet,它駐留在moreservlets程式包中。因為此servlet是紮根在一個名為deployDemo的目錄中的Web應用的組成部分,所以TestServlet.class放在deployDemo/WEB-INF/classes/moreservlets中。程式清單5-2給出將放置在deployDemo/WEB-INF/內的web.xml檔案的一部分。此web.xml檔案使用servlet-name和servlet-class元素將名稱Test與TestServlet.class相關聯。圖5-1和圖5-2分別顯示利用預設URL和註冊名呼叫TestServlet時的結果。
程式清單5-1 TestServlet.java
package moreservlets;
import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
/** Simple servlet used to illustrate servlet naming
* and custom URLs.
* <P>
* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/
public class TestServlet extends HttpServlet {
public void doGet(HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html");
PrintWriter out = response.getWriter();
String uri = request.getRequestURI();
out.println(ServletUtilities.headWithTitle("Test Servlet") +
"<BODY BGCOLOR=/"#FDF5E6/">/n" +
"<H2>URI: " + uri + "</H2>/n" +
"</BODY></HTML>");
}
}
程式清單5-2 web.xml(說明servlet名稱的摘錄)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<!-- … -->
<servlet>
<servlet-name>Test</servlet-name>
<servlet-class>moreservlets.TestServlet</servlet-class>
</servlet>
<!-- … -->
</web-app>
3.2 定義定製的URL
大多數伺服器具有一個預設的serlvet URL:
http://host/webAppPrefix/servlet/packageName.ServletName。雖然在開發中使用這個URL很方便,但是我們常常會希望另一個URL用於部署。例如,可能會需要一個出現在Web應用頂層的URL(如,http://host/webAppPrefix/Anyname),並且在此URL中沒有servlet項。位於頂層的URL簡化了相對URL的使用。此外,對許多開發人員來說,頂層URL看上去比更長更麻煩的預設URL更簡短。
事實上,有時需要使用定製的URL。比如,你可能想關閉預設URL對映,以便更好地強制實施安全限制或防止使用者意外地訪問無初始化引數的servlet。如果你禁止了預設的URL,那麼你怎樣訪問servlet呢?這時只有使用定製的URL了。
為了分配一個定製的URL,可使用servlet-mapping元素及其servlet-name和url-pattern子元素。Servlet-name元素提供了一個任意名稱,可利用此名稱引用相應的servlet;url-pattern描述了相對於Web應用的根目錄的URL。url-pattern元素的值必須以斜槓(/)起始。
下面給出一個簡單的web.xml摘錄,它允許使用URL http://host/webAppPrefix/UrlTest而不是http://host/webAppPrefix/servlet/Test或
http://host/webAppPrefix/servlet/moreservlets.TestServlet。請注意,仍然需要XML頭、DOCTYPE宣告以及web-app封閉元素。此外,可回憶一下,XML元素出現地次序不是隨意的。特別是,需要把所有servlet元素放在所有servlet-mapping元素之前。
<servlet>
<servlet-name>Test</servlet-name>
<servlet-class>moreservlets.TestServlet</servlet-class>
</servlet>
<!-- ... -->
<servlet-mapping>
<servlet-name>Test</servlet-name>
<url-pattern>/UrlTest</url-pattern>
</servlet-mapping>
URL模式還可以包含萬用字元。例如,下面的小程式指示伺服器傳送所有以Web應用的URL字首開始,以..asp結束的請求到名為BashMS的servlet。
<servlet>
<servlet-name>BashMS</servlet-name>
<servlet-class>msUtils.ASPTranslator</servlet-class>
</servlet>
<!-- ... -->
<servlet-mapping>
<servlet-name>BashMS</servlet-name>
<url-pattern>/*.asp</url-pattern>
</servlet-mapping>
3.3 命名JSP頁面
因為JSP頁面要轉換成sevlet,自然希望就像命名servlet一樣命名JSP頁面。畢竟,JSP頁面可能會從初始化引數、安全設定或定製的URL中受益,正如普通的serlvet那樣。雖然JSP頁面的後臺實際上是servlet這句話是正確的,但存在一個關鍵的猜疑:即,你不知道JSP頁面的實際類名(因為系統自己挑選這個名字)。因此,為了命名JSP頁面,可將jsp-file元素替換為servlet-calss元素,如下所示:
<servlet>
<servlet-name>Test</servlet-name>
<jsp-file>/TestPage.jsp</jsp-file>
</servlet>
命名JSP頁面的原因與命名servlet的原因完全相同:即為了提供一個與定製設定(如,初始化引數和安全設定)一起使用的名稱,並且,以便能更改啟用JSP頁面的URL(比方說,以便多個URL通過相同頁面得以處理,或者從URL中去掉.jsp副檔名)。但是,在設定初始化引數時,應該注意,JSP頁面是利用jspInit方法,而不是init方法讀取初始化引數的。
例如,程式清單5-3給出一個名為TestPage.jsp的簡單JSP頁面,它的工作只是打印出用來啟用它的URL的本地部分。TestPage.jsp放置在deployDemo應用的頂層。程式清單5-4給出了用來分配一個註冊名PageName,然後將此註冊名與http://host/webAppPrefix/UrlTest2/anything 形式的URL相關聯的web.xml檔案(即,deployDemo/WEB-INF/web.xml)的一部分。
程式清單5-3 TestPage.jsp
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD>
<TITLE>
JSP Test Page
</TITLE>
</HEAD>
<BODY BGCOLOR="#FDF5E6">
<H2>URI: <%= request.getRequestURI() %></H2>
</BODY>
</HTML>
程式清單5-4 web.xml(說明JSP頁命名的摘錄)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<!-- ... -->
<servlet>
<servlet-name>PageName</servlet-name>
<jsp-file>/TestPage.jsp</jsp-file>
</servlet>
<!-- ... -->
<servlet-mapping>
<servlet-name> PageName </servlet-name>
<url-pattern>/UrlTest2/*</url-pattern>
</servlet-mapping>
<!-- ... -->
</web-app>
4 禁止啟用器servlet
對servlet或JSP頁面建立定製URL的一個原因是,這樣做可以註冊從init(servlet)或jspInit(JSP頁面)方法中讀取得初始化引數。但是,初始化引數只在是利用定製URL模式或註冊名訪問servlet或JSP頁面時可以使用,用預設URL http://host/webAppPrefix/servlet/ServletName 訪問時不能使用。因此,你可能會希望關閉預設URL,這樣就不會有人意外地呼叫初始化servlet了。這個過程有時稱為禁止啟用器servlet,因為多數伺服器具有一個用預設的servlet URL註冊的標準servlet,並激活預設的URL應用的實際servlet。
有兩種禁止此預設URL的主要方法:
l 在每個Web應用中重新對映/servlet/模式。
l 全域性關閉啟用器servlet。
重要的是應該注意到,雖然重新對映每個Web應用中的/servlet/模式比徹底禁止啟用servlet所做的工作更多,但重新對映可以用一種完全可移植的方式來完成。相反,全域性禁止啟用器servlet完全是針對具體機器的,事實上有的伺服器(如ServletExec)沒有這樣的選擇。下面的討論對每個Web應用重新對映/servlet/ URL模式的策略。後面提供在Tomcat中全域性禁止啟用器servlet的詳細內容。
4.1 重新對映/servlet/URL模式
在一個特定的Web應用中禁止以http://host/webAppPrefix/servlet/ 開始的URL的處理非常簡單。所需做的事情就是建立一個錯誤訊息servlet,並使用前一節討論的url-pattern元素將所有匹配請求轉向該servlet。只要簡單地使用:
<url-pattern>/servlet/*</url-pattern>
作為servlet-mapping元素中的模式即可。
例如,程式清單5-5給出了將SorryServlet servlet(程式清單5-6)與所有以http://host/webAppPrefix/servlet/ 開頭的URL相關聯的部署描述符檔案的一部分。
程式清單5-5 web.xml(說明JSP頁命名的摘錄)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<!-- ... -->
<servlet>
<servlet-name>Sorry</servlet-name>
<servlet-class>moreservlets.SorryServlet</servlet-class>
</servlet>
<!-- ... -->
<servlet-mapping>
<servlet-name> Sorry </servlet-name>
<url-pattern>/servlet/*</url-pattern>
</servlet-mapping>
<!-- ... -->
</web-app>
程式清單5-6 SorryServlet.java
package moreservlets;
import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
/** Simple servlet used to give error messages to
* users who try to access default servlet URLs
* (i.e., http://host/webAppPrefix/servlet/ServletName)
* in Web applications that have disabled this
* behavior.
* <P>
* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/
public class SorryServlet extends HttpServlet {
public void doGet(HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html");
PrintWriter out = response.getWriter();
String title = "Invoker Servlet Disabled.";
out.println(ServletUtilities.headWithTitle(title) +
"<BODY BGCOLOR=/"#FDF5E6/">/n" +
"<H2>" + title + "</H2>/n" +
"Sorry, access to servlets by means of/n" +
"URLs that begin with/n" +
"http://host/webAppPrefix/servlet//n" +
"has been disabled./n" +
"</BODY></HTML>");
}
public void doPost(HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
doGet(request, response);
}
}
4.2 全域性禁止啟用器:Tomcat
Tomcat 4中用來關閉預設URL的方法與Tomcat 3中所用的很不相同。下面介紹這兩種方法:
1.禁止啟用器: Tomcat 4
Tomcat 4用與前面相同的方法關閉啟用器servlet,即利用web.xml中的url-mapping元素進行關閉。不同之處在於Tomcat使用了放在install_dir/conf中的一個伺服器專用的全域性web.xml檔案,而前面使用的是存放在每個Web應用的WEB-INF目錄中的標準web.xml檔案。
因此,為了在Tomcat 4中關閉啟用器servlet,只需在install_dir/conf/web.xml中簡單地註釋出/servlet/* URL對映項即可,如下所示:
<!--
<servlet-mapping>
<servlet-name>invoker</servlet-name>
<url-pattern>/servlet/*</url-pattern>
</servlet-mapping>
-->
再次提醒,應該注意這個項是位於存放在install_dir/conf的Tomcat專用的web.xml檔案中的,此檔案不是存放在每個Web應用的WEB-INF目錄中的標準web.xml。
2.禁止啟用器:Tomcat3
在Apache Tomcat的版本3中,通過在install_dir/conf/server.xml中註釋出InvokerInterceptor項全域性禁止預設servlet URL。例如,下面是禁止使用預設servlet URL的server.xml檔案的一部分。
<!--
<RequsetInterceptor
className="org.apache.tomcat.request.InvokerInterceptor"
debug="0" prefix="/servlet/" />
-->
5 初始化和預裝載servlet與JSP頁面
這裡討論控制servlet和JSP頁面的啟動行為的方法。特別是,說明了怎樣分配初始化引數以及怎樣更改伺服器生存期中裝載servlet和JSP頁面的時刻。
5.1 分配servlet初始化引數
利用init-param元素向servlet提供初始化引數,init-param元素具有param-name和param-value子元素。例如,在下面的例子中,如果initServlet servlet是利用它的註冊名(InitTest)訪問的,它將能夠從其方法中呼叫getServletConfig().getInitParameter("param1")獲得"Value 1",呼叫getServletConfig().getInitParameter("param2")獲得"2"。
<servlet>
<servlet-name>InitTest</servlet-name>
<servlet-class>moreservlets.InitServlet</servlet-class>
<init-param>
<param-name>param1</param-name>
<param-value>value1</param-value>
</init-param>
<init-param>
<param-name>param2</param-name>
<param-value>2</param-value>
</init-param>
</servlet>
在涉及初始化引數時,有幾點需要注意:
l 返回值。GetInitParameter的返回值總是一個String。因此,在前一個例子中,可對param2使用Integer.parseInt獲得一個int。
l JSP中的初始化。JSP頁面使用jspInit而不是init。JSP頁面還需要使用jsp-file元素代替servlet-class。
l 預設URL。初始化引數只在通過它們的註冊名或與它們註冊名相關的定製URL模式訪問Servlet時可以使用。因此,在這個例子中,param1和param2初始化引數將能夠在使用URL http://host/webAppPrefix/servlet/InitTest 時可用,但在使用URL http://host/webAppPrefix/servlet/myPackage.InitServlet 時不能使用。
例如,程式清單5-7給出一個名為InitServlet的簡單servlet,它使用init方法設定firstName和emailAddress欄位。程式清單5-8給出分配名稱InitTest給servlet的web.xml檔案。
程式清單5-7 InitServlet.java
package moreservlets;
import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
/** Simple servlet used to illustrate servlet
* initialization parameters.
* <P>
* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/
public class InitServlet extends HttpServlet {
private String firstName, emailAddress;
public void init() {
ServletConfig config = getServletConfig();
firstName = config.getInitParameter("firstName");
emailAddress = config.getInitParameter("emailAddress");
}
public void doGet(HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html");
PrintWriter out = response.getWriter();
String uri = request.getRequestURI();
out.println(ServletUtilities.headWithTitle("Init Servlet") +
"<BODY BGCOLOR=/"#FDF5E6/">/n" +
"<H2>Init Parameters:</H2>/n" +
"<UL>/n" +
"<LI>First name: " + firstName + "/n" +
"<LI>Email address: " + emailAddress + "/n" +
"</UL>/n" +
"</BODY></HTML>");
}
}
程式清單5-8 web.xml(說明初始化引數的摘錄)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<!-- ... -->
<servlet>
<servlet-name>InitTest</servlet-name>
<servlet-class>moreservlets.InitServlet</servlet-class>
<init-param>
<param-name>firstName</param-name>
<param-value>Larry</param-value>
</init-param>
<init-param>
<param-name>emailAddress</param-name>
<param-value>[email protected]</param-value>
</init-param>
</servlet>
<!-- ... -->
</web-app>
5.2 分配JSP初始化引數
給JSP頁面提供初始化引數在三個方面不同於給servlet提供初始化引數。
1)使用jsp-file而不是servlet-class。因此,WEB-INF/web.xml檔案的servlet元素如下所示:
<servlet>
<servlet-name>PageName</servlet-name>
<jsp-file>/RealPage.jsp</jsp-file>
<init-param>
<param-name>...</param-name>
<param-value>...</param-value>
</init-param>
...
</servlet>
2)幾乎總是分配一個明確的URL模式。對servlet,一般相應地使用以http://host/webAppPrefix/servlet/ 開始的預設URL。只需記住,使用註冊名而不是原名稱即可。這對於JSP頁面在技術上也是合法的。例如,在上面給出的例子中,可用URL http://host/webAppPrefix/servlet/PageName 訪問RealPage.jsp的對初始化引數具有訪問權的版本。但在用於JSP頁面時,許多使用者似乎不喜歡應用常規的servlet的URL。此外,如果JSP頁面位於伺服器為其提供了目錄清單的目錄中(如,一個既沒有index.html也沒有index.jsp檔案的目錄),則使用者可能會連線到此JSP頁面,單擊它,從而意外地啟用未初始化的頁面。因此,好的辦法是使用url-pattern(5.3節)將JSP頁面的原URL與註冊的servlet名相關聯。這樣,客戶機可使用JSP頁面的普通名稱,但仍然啟用定製的版本。例如,給定來自專案1的servlet定義,可使用下面的servlet-mapping定義:
<servlet-mapping>
<servlet-name>PageName</servlet-name>
<url-pattern>/RealPage.jsp</url-pattern>
</servlet-mapping>
3)JSP頁使用jspInit而不是init。自動從JSP頁面建立的servlet或許已經使用了inti方法。因此,使用JSP宣告提供一個init方法是不合法的,必須制定jspInit方法。
為了說明初始化JSP頁面的過程,程式清單5-9給出了一個名為InitPage.jsp的JSP頁面,它包含一個jspInit方法且放置於deployDemo Web應用層次結構的頂層。一般,http://host/deployDemo/InitPage.jsp 形式的URL將啟用此頁面的不具有初始化引數訪問權的版本,從而將對firstName和emailAddress變數顯示null。但是,web.xml檔案(程式清單5-10)分配了一個註冊名,然後將該註冊名與URL模式/InitPage.jsp相關聯。
程式清單5-9 InitPage.jsp
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD><TITLE>JSP Init Test</TITLE></HEAD>
<BODY BGCOLOR="#FDF5E6">
<H2>Init Parameters:</H2>
<UL>
<LI>First name: <%= firstName %>
<LI>Email address: <%= emailAddress %>
</UL>
</BODY></HTML>
<%!
private String firstName, emailAddress;
public void jspInit() {
ServletConfig config = getServletConfig();
firstName = config.getInitParameter("firstName");
emailAddress = config.getInitParameter("emailAddress");
}
%>
程式清單5-10 web.xml(說明JSP頁面的init引數的摘錄)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<!-- ... -->
<servlet>
<servlet-name>InitPage</servlet-name>
<jsp-file>/InitPage.jsp</jsp-file>
<init-param>
<param-name>firstName</param-name>
<param-value>Bill</param-value>
</init-param>
<init-param>
<param-name>emailAddress</param-name>
<param-value>[email protected]</param-value>
</init-param>
</servlet>
<!-- ... -->
<servlet-mapping>
<servlet-name> InitPage</servlet-name>
<url-pattern>/InitPage.jsp</url-pattern>
</servlet-mapping>
<!-- ... -->
</web-app>
5.3 提供應用範圍內的初始化引數
一般,對單個地servlet或JSP頁面分配初始化引數。指定的servlet或JSP頁面利用ServletConfig的getInitParameter方法讀取這些引數。但是,在某些情形下,希望提供可由任意servlet或JSP頁面藉助ServletContext的getInitParameter方法讀取的系統範圍內的初始化引數。
可利用context-param元素宣告這些系統範圍內的初始化值。context-param元素應該包含param-name、param-value以及可選的description子元素,如下所示:
<context-param>
<param-name>support-email</param-name>
<param-value>[email protected]</param-value>
</context-param>
可回憶一下,為了保證可移植性,web.xml內的元素必須以正確的次序宣告。但這裡應該注意,context-param元素必須出現任意與文件有關的元素(icon、display-name或description)之後及filter、filter-mapping、listener或servlet元素之前。
5.4 在伺服器啟動時裝載servlet
假如servlet或JSP頁面有一個要花很長時間執行的init(servlet)或jspInit(JSP)方法。例如,假如init或jspInit方法從某個資料庫或ResourceBundle查詢產量。這種情況下,在第一個客戶機請求時裝載servlet的預設行為將對第一個客戶機產生較長時間的延遲。因此,可利用servlet的load-on-startup元素規定伺服器在第一次啟動時裝載servlet。下面是一個例子。
<servlet>
<servlet-name> … </servlet-name>
<servlet-class> … </servlet-class> <!-- Or jsp-file -->
<load-on-startup/>
</servlet>
可以為此元素體提供一個整數而不是使用一個空的load-on-startup。想法是伺服器應該在裝載較大數目的servlet或JSP頁面之前裝載較少數目的servlet或JSP頁面。例如,下面的servlet項(放置在Web應用的WEB-INF目錄下的web.xml檔案中的web-app元素內)將指示伺服器首先裝載和初始化SearchServlet,然後裝載和初始化由位於Web應用的result目錄中的index.jsp檔案產生的servlet。
<servlet>
<servlet-name>Search</servlet-name>
<servlet-class>myPackage.SearchServlet</servlet-class> <!-- Or jsp-file -->
<load-on-startup>1</load-on-startup>
</servlet>
<servlet>
<servlet-name>Results</servlet-name>
<servlet-class>/results/index.jsp</servlet-class> <!-- Or jsp-file -->
<load-on-startup>2</load-on-startup>
</servlet>
6 宣告過濾器
servlet版本2.3引入了過濾器的概念。雖然所有支援servlet API版本2.3的伺服器都支援過濾器,但為了使用與過濾器有關的元素,必須在web.xml中使用版本2.3的DTD。
過濾器可擷取和修改進入一個servlet或JSP頁面的請求或從一個servlet或JSP頁面發出的相應。在執行一個servlet或JSP頁面之前,必須執行第一個相關的過濾器的doFilter方法。在該過濾器對其FilterChain物件呼叫doFilter時,執行鏈中的下一個過濾器。如果沒有其他過濾器,servlet或JSP頁面被執行。過濾器具有對到來的ServletRequest物件的全部訪問權,因此,它們可以檢視客戶機名、查詢到來的cookie等。為了訪問servlet或JSP頁面的輸出,過濾器可將響應物件包裹在一個替身物件(stand-in object)中,比方說把輸出累加到一個緩衝區。在呼叫FilterChain物件的doFilter方法之後,過濾器可檢查緩衝區,如有必要,就對它進行修改,然後傳送到客戶機。
例如,程式清單5-11帝國難以了一個簡單的過濾器,只要訪問相關的servlet或JSP頁面,它就擷取請求並在標準輸出上列印一個報告(開發過程中在桌面系統上執行時,大多數伺服器都可以使用這個過濾器)。
程式清單5-11 ReportFilter.java
package moreservlets;
import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
import java.util.*;
/** Simple filter that prints a report on the standard output
* whenever the associated servlet or JSP page is accessed.
* <P>
* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/
public class ReportFilter implements Filter {
public void doFilter(ServletRequest request,
ServletResponse response,
FilterChain chain)
throws ServletException, IOException {
HttpServletRequest req = (HttpServletRequest)request;
System.out.println(req.getRemoteHost() +
" tried to access " +
req.getRequestURL() +
" on " + new Date() + ".");
chain.doFilter(request,response);
}
public void init(FilterConfig config)
throws ServletException {
}
public void destroy() {}
}
一旦建立了一個過濾器,可以在web.xml中利用filter元素以及filter-name(任意名稱)、file-class(完全限定的類名)和(可選的)init-params子元素宣告它。請注意,元素在web.xml的web-app元素中出現的次序不是任意的;允許伺服器(但不是必需的)強制所需的次序,並且實際中有些伺服器也是這樣做的。但這裡要注意,所有filter元素必須出現在任意filter-mapping元素之前,filter-mapping元素又必須出現在所有servlet或servlet-mapping元素之前。
例如,給定上述的ReportFilter類,可在web.xml中作出下面的filter宣告。它把名稱Reporter與實際的類ReportFilter(位於moreservlets程式包中)相關聯。
<filter>
<filter-name>Reporter</filter-name>
<filter-class>moresevlets.ReportFilter</filter-class>
</filter>
一旦命名了一個過濾器,可利用filter-mapping元素把它與一個或多個servlet或JSP頁面相關聯。關於此項工作有兩種選擇。
首先,可使用filter-name和servlet-name子元素把此過濾器與一個特定的servlet名(此servlet名必須稍後在相同的web.xml檔案中使用servlet元素宣告)關聯。例如,下面的程式片斷指示系統只要利用一個定製的URL訪問名為SomeServletName的servlet或JSP頁面,就執行名為Reporter的過濾器。
<filter-mapping>
<filter-name>Reporter</filter-name>
<servlet-name>SomeServletName</servlet-name>
</filter-mapping>
其次,可利用filter-name和url-pattern子元素將過濾器與一組servlet、JSP頁面或靜態內容相關聯。例如,相面的程式片段指示系統只要訪問Web應用中的任意URL,就執行名為Reporter的過濾器。
<filter-mapping>
<filter-name>Reporter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
例如,程式清單5-12給出了將ReportFilter過濾器與名為PageName的servlet相關聯的web.xml檔案的一部分。名字PageName依次又與一個名為TestPage.jsp的JSP頁面以及以模式http://host/webAppPrefix/UrlTest2/ 開頭的URL相關聯。TestPage.jsp的原始碼已經JSP頁面命名的談論在前面的3節"分配名稱和定製的URL"中給出。事實上,程式清單5-12中的servlet和servlet-name項從該節原封不動地拿過來的。給定這些web.xml項,可看到下面的標準輸出形式的除錯報告(換行是為了容易閱讀)。
audit.irs.gov tried to access
http://mycompany.com/deployDemo/UrlTest2/business/tax-plan.html
on Tue Dec 25 13:12:29 EDT 2001.
程式清單5-12 Web.xml(說明filter用法的摘錄)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<filter>
<filter-name>Reporter</filter-name>
<filter-class>moresevlets.ReportFilter</filter-class>
</filter>
<!-- ... -->
<filter-mapping>
<filter-name>Reporter</filter-name>
<servlet-name>PageName</servlet-name>
</filter-mapping>
<!-- ... -->
<servlet>
<servlet-name>PageName</servlet-name>
<jsp-file>/RealPage.jsp</jsp-file>
</servlet>
<!-- ... -->
<servlet-mapping>
<servlet-name> PageName </servlet-name>
<url-pattern>/UrlTest2/*</url-pattern>
</servlet-mapping>
<!-- ... -->
</web-app>
7 指定歡迎頁
假如使用者提供了一個像http://host/webAppPrefix/directoryName/ 這樣的包含一個目錄名但沒有包含檔名的URL,會發生什麼事情呢?使用者能得到一個目錄表?一個錯誤?還是標準檔案的內容?如果得到標準檔案內容,是index.html、index.jsp、default.html、default.htm或別的什麼東西呢?
Welcome-file-list元素及其輔助的welcome-file元素解決了這個模糊的問題。例如,下面的web.xml項指出,如果一個URL給出一個目錄名但未給出檔名,伺服器應該首先試用index.jsp,然後再試用index.html。如果兩者都沒有找到,則結果有賴於所用的伺服器(如一個目錄列表)。
<welcome-file-list>
<welcome-file>index.jsp</welcome-file>
<welcome-file>index.html</welcome-file>
</welcome-file-list>
雖然許多伺服器預設遵循這種行為,但不一定必須這樣。因此,明確地使用welcom-file-list保證可移植性是一種良好的習慣。
8 指定處理錯誤的頁面
現在我瞭解到,你在開發servlet和JSP頁面時從不會犯錯誤,而且你的所有頁面是那樣的清晰,一般的程式設計師都不會被它們的搞糊塗。但是,是人總會犯錯誤的,使用者可能會提供不合規定的引數,使用不正確的URL或者不能提供必需的表單欄位值。除此之外,其它開發人員可能不那麼細心,他們應該有些工具來克服自己的不足。
error-page元素就是用來克服這些問題的。它有兩個可能的子元素,分別是:error-code和exception-type。第一個子元素error-code指出在給定的HTTP錯誤程式碼出現時使用的URL。第二個子元素excpetion-type指出在出現某個給定的Java異常但未捕捉到時使用的URL。error-code和exception-type都利用location元素指出相應的URL。此URL必須以/開始。location所指出的位置處的頁面可通過查詢HttpServletRequest物件的兩個專門的屬性來訪問關於錯誤的資訊,這兩個屬性分別是:javax.servlet.error.status_code和javax.servlet.error.message。
可回憶一下,在web.xml內以正確的次序宣告web-app的子元素很重要。這裡只要記住,error-page出現在web.xml檔案的末尾附近,servlet、servlet-name和welcome-file-list之後即可。
8.1 error-code元素
為了更好地瞭解error-code元素的值,可考慮一下如果不正確地輸入檔名,大多數站點會作出什麼反映。這樣做一般會出現一個404錯誤資訊,它表示不能找到該檔案,但幾乎沒提供更多有用的資訊。另一方面,可以試一下在www.microsoft.com、www.ibm.com 處或者特別是在www.bea.com 處輸出未知的檔名。這是會得出有用的訊息,這些訊息提供可選擇的位置,以便查詢感興趣的頁面。提供這樣有用的錯誤頁面對於Web應用來說是很有價值得。事實上rm-error-page子元素)。由form-login-page給出的HTML表單必須具有一個j_security_check的ACTION屬性、一個名為j_username的使用者名稱文字欄位以及一個名為j_password的口令欄位。
例如,程式清單5-19指示伺服器使用基於表單的驗證。Web應用的頂層目錄中的一個名為login.jsp的頁面將收集使用者名稱和口令,並且失敗的登陸將由相同目錄中名為login-error.jsp的頁面報告。
程式清單5-19 web.xml(說明login-config的摘錄)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<!-- ... -->
<security-constraint> ... </security-constraint>
<login-config>
<auth-method> FORM </auth-method>
<form-login-config>
<form-login-page>/login.jsp</form-login-page>
<form-error-page>/login-error.jsp</form-error-page>
</form-login-config>
</login-config>
<!-- ... -->
</web-app>
9.2 限制對Web資源的訪問
現在,可以指示伺服器使用何種驗證方法了。"了不起,"你說道,"除非我能指定一個來收到保護的URL,否則沒有多大用處。"沒錯。指出這些URL並說明他們應該得到何種保護正是security-constriaint元素的用途。此元素在web.xml中應該出現在login-config的緊前面。它包含是個可能的子元素,分別是:web-resource-collection、auth-constraint、user-data-constraint和display-name。下面各小節對它們進行介紹。
l web-resource-collection
此元素確定應該保護的資源。所有security-constraint元素都必須包含至少一個web-resource-collection項。此元素由一個給出任意標識名稱的web-resource-name元素、一個確定應該保護的URL的url-pattern元素、一個指出此保護所適用的HTTP命令(GET、POST等,預設為所有方法)的http-method元素和一個提供資料的可選description元素組成。例如,下面的Web-resource-collection項(在security-constratint元素內)指出Web應用的proprietary目錄中所有文件應該受到保護。
<security-constraint>
<web-resource-coolection>
<web-resource-name>Proprietary</web-resource-name>
<url-pattern>/propritary/*</url-pattern>
</web-resource-coolection>
<!-- ... -->
</security-constraint>
重要的是應該注意到,url-pattern僅適用於直接訪問這些資源的客戶機。特別是,它不適合於通過MVC體系結構利用RequestDispatcher來訪問的頁面,或者不適合於利用類似jsp:forward的手段來訪問的頁面。這種不勻稱如果利用得當的話很有好處。例如,servlet可利用MVC體系結構查詢資料,把它放到bean中,傳送請求到從bean中提取資料的JSP頁面並顯示它。我們希望保證決不直接訪問受保護的JSP頁面,而只是通過建立該頁面將使用的bean的servlet來訪問它。url-pattern和auth-contraint元素可通過宣告不允許任何使用者直接訪問JSP頁面來提供這種保證。但是,這種不勻稱的行為可能讓開發人員放鬆警惕,使他們偶然對應受保護的資源提供不受限制的訪問。
l auth-constraint
儘管web-resource-collention元素質出了哪些URL應該受到保護,但是auth-constraint元素卻指出哪些使用者應該具有受保護資源的訪問權。此元素應該包含一個或多個標識具有訪問許可權的使用者類別role-name元素,以及包含(可選)一個描述角色的description元素。例如,下面web.xml中的security-constraint元素部門規定只有指定為Administrator或Big Kahuna(或兩者)的使用者具有指定資源的訪問權。
<security-constraint>
<web-resource-coolection> ... </web-resource-coolection>
<auth-constraint>
<role-name>administrator</role-name>
<role-name>kahuna</role-name>
</auth-constraint>
</security-constraint>
重要的是認識到,到此為止,這個過程的可移植部分結束了。伺服器怎樣確定哪些使用者處於任何角色以及它怎樣存放使用者的口令,完全有賴於具體的系統。
例如,Tomcat使用install_dir/conf/tomcat-users.xml將使用者名稱與角色名和口令相關聯,正如下面例子中所示,它指出使用者joe(口令bigshot)和jane(口令enaj)屬於administrator和kahuna角色。
<tomcat-users>
<user name="joe" password="bigshot" roles="administrator,kahuna" />
<user name="jane" password="enaj" roles="kahuna" />
</tomcat-users>
l user-data-constraint
這個可選的元素指出在訪問相關資源時使用任何傳輸層保護。它必須包含一個transport-guarantee子元素(合法值為NONE、INTEGRAL或CONFIDENTIAL),並且可選地包含一個description元素。transport-guarantee為NONE值將對所用的通訊協議不加限制。INTEGRAL值表示資料必須以一種防止擷取它的人閱讀它的方式傳送。雖然原理上(並且在未來的HTTP版本中),在INTEGRAL和CONFIDENTIAL之間可能會有差別,但在當前實踐中,他們都只是簡單地要求用SSL。例如,下面指示伺服器只允許對相關資源做HTTPS連線:
<security-constraint>
<!-- ... -->
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
l display-name
security-constraint的這個很少使用的子元素給予可能由GUI工具使用的安全約束項一個名稱。
9.3 分配角色名
迄今為止,討論已經集中到完全由容器(伺服器)處理的安全問題之上了。但servlet以及JSP頁面也能夠處理它們自己的安全問題。
例如,容器可能允許使用者從bigwig或bigcheese角色訪問一個顯示主管人員額外緊貼的頁面,但只允許bigwig使用者修改此頁面的引數。完成這種更細緻的控制的一種常見方法是呼叫HttpServletRequset的isUserInRole方法,並據此修改訪問。
Servlet的security-role-ref子元素提供出現在伺服器專用口令檔案中的安全形色名的一個別名。例如,假如編寫了一個呼叫request.isUserInRole("boss")的servlet,但後來該servlet被用在了一個其口令檔案呼叫角色manager而不是boss的伺服器中。下面的程式段使該servlet能夠使用這兩個名稱中的任何一個。
<servlet>
<!-- ... -->
<security-role-ref>
<role-name>boss</role-name> <!-- New alias -->
<role-link>manager</role-link> <!-- Real name -->
</security-role-ref>
</servlet>
也可以在web-app內利用security-role元素提供將出現在role-name元素中的所有安全形色的一個全域性列表。分別地生命角色使高階IDE容易處理安全資訊。
10 控制會話超時
如果某個會話在一定的時間內未被訪問,伺服器可把它扔掉以節約記憶體。可利用HttpSession的setMaxInactiveInterval方法直接設定個別會話物件的超時值。如果不採用這種方法,則預設的超時值由具體的伺服器決定。但可利用session-config和session-timeout元素來給出一個適用於所有伺服器的明確的超時值。超時值的單位為分鐘,因此,下面的例子設定預設會話超時值為三個小時(180分鐘)。
<session-config>
<session-timeout>180</session-timeout>
</session-config>
11 Web應用的文件化
越來越多的開發環境開始提供servlet和JSP的直接支援。例子有Borland Jbuilder Enterprise Edition、Macromedia UltraDev、Allaire JRun Studio(寫此文時,已被Macromedia收購)以及IBM VisuaAge for Java等。
大量的web.xml元素不僅是為伺服器設計的,而且還是為可視開發環境設計的。它們包括icon、display-name和discription等。
可回憶一下,在web.xml內以適當地次序宣告web-app子元素很重要。不過,這裡只要記住icon、display-name和description是web.xml的web-app元素內的前三個合法元素即可。
l icon
icon元素指出GUI工具可用來代表Web應用的一個和兩個影象檔案。可利用small-icon元素指定一幅16 x 16的GIF或JPEG影象,用large-icon元素指定一幅32 x 32的影象。下面舉一個例子:
<icon>
<small-icon>/images/small-book.gif</small-icon>
<large-icon>/images/tome.jpg</large-icon>
</icon>
l display-name
display-name元素提供GUI工具可能會用來標記此Web應用的一個名稱。下面是個例子。
<display-name>Rare Books</display-name>
l description
description元素提供解釋性文字,如下所示:
<description>
This Web application represents the store developed for
rare-books.com, an online bookstore specializing in rare
and limited-edition books.
</description>
12 關聯檔案與MIME型別
伺服器一般都具有一種讓Web站點管理員將副檔名與媒體相關聯的方法。例如,將會自動給予名為mom.jpg的檔案一個image/jpeg的MIME型別。但是,假如你的Web應用具有幾個不尋常的檔案,你希望保證它們在傳送到客戶機時分配為某種MIME型別。mime-mapping元素(具有extension和mime-type子元素)可提供這種保證。例如,下面的程式碼指示伺服器將application/x-fubar的MIME型別分配給所有以.foo結尾的檔案。
<mime-mapping>
<extension>foo</extension>
<mime-type>application/x-fubar</mime-type>
</mime-mapping>
或許,你的Web應用希望過載(override)標準的對映。例如,下面的程式碼將告訴伺服器在傳送到客戶機時指定.ps檔案作為純文字(text/plain)而不是作為PostScript(application/postscript)。
<mime-mapping>
<extension>ps</extension>
<mime-type>application/postscript</mime-type>
</mime-mapping>
13 定位TLD
JSP taglib元素具有一個必要的uri屬性,它給出一個TLD(Tag Library Descriptor)檔案相對於Web應用的根的位置。TLD檔案的實際名稱在釋出新的標籤庫版本時可能會改變,但我們希望避免更改所有現有JSP頁面。此外,可能還希望使用保持taglib元素的簡練性的一個簡短的uri。這就是部署描述符檔案的taglib元素派用場的所在了。Taglib包含兩個子元素:taglib-uri和taglib-location。taglib-uri元素應該與用於JSP taglib元素的uri屬性的東西相匹配。Taglib-location元素給出TLD檔案的實際位置。例如,假如你將檔案chart-tags-1.3beta.tld放在WebApp/WEB-INF/tlds中。現在,假如web.xml在web-app元素內包含下列內容。
<taglib>
<taglib-uri>/charts.tld</taglib-uri>
<taglib-location>
/WEB-INF/tlds/chart-tags-1.3beta.tld
</taglib-location>
</taglib>
給出這個說明後,JSP頁面可通過下面的簡化形式使用標籤庫。
<%@ taglib uri="/charts.tld" prefix="somePrefix" %>
14 指定應用事件監聽程式
應用事件監聽器程式是建立或修改servlet環境或會話物件時通知的類。它們是servlet規範的版本2.3中的新內容。這裡只簡單地說明用來向Web應用註冊一個監聽程式的web.xml的用法。
註冊一個監聽程式涉及在web.xml的web-app元素內放置一個listener元素。在listener元素內,listener-class元素列出監聽程式的完整的限定類名,如下所示:
<listener>
<listener-class>package.ListenerClass</listener-class>
</listener>
雖然listener元素的結構很簡單,但請不要忘記,必須正確地給出web-app元素內的子元素的次序。listener元素位於所有的servlet元素之前以及所有filter-mapping元素之後。此外,因為應用生存期監聽程式是serlvet規範的2.3版本中的新內容,所以必須使用web.xml DTD的2.3版本,而不是2.2版本。
例如,程式清單5-20給出一個名為ContextReporter的簡單的監聽程式,只要Web應用的Servlet-Context建立(如裝載Web應用)或消除(如伺服器關閉)時,它就在標準輸出上顯示一條訊息。程式清單5-21給出此監聽程式註冊所需要的web.xml檔案的一部分。
程式清單5-20 ContextReporterjava
package moreservlets;
import javax.servlet.*;
import java.util.*;
/** Simple listener that prints a report on the standard output
* when the ServletContext is created or destroyed.
* <P>
* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/
public class ContextReporter implements ServletContextListener {
public void contextInitialized(ServletContextEvent event) {
System.out.println("Context created on " +
new Date() + ".");
}
public void contextDestroyed(ServletContextEvent event) {
System.out.println("Context destroyed on " +
new Date() + ".");
}
}
程式清單5-21 web.xml(宣告一個監聽程式的摘錄)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<!-- ... -->
<filter-mapping> … </filter-mapping>
<listener>
<listener-class>package.ListenerClass</listener-class>
</listener>
<servlet> ... </servlet>
<!-- ... -->
</web-app>
15 J2EE元素
本節描述用作J2EE環境組成部分的Web應用的web.xml元素。這裡將提供一個簡明的介紹,詳細內容可以參閱http://java.sun.com/j2ee/j2ee-1_3-fr-spec.pdf的Java 2 Plantform Enterprise Edition版本1.3規範的第5章。
l distributable
distributable元素指出,Web應用是以這樣的方式程式設計的:即,支援叢集的伺服器可安全地在多個伺服器上分佈Web應用。例如,一個可分佈的應用必須只使用Serializable物件作為其HttpSession物件的屬性,而且必須避免用例項變數(欄位)來實現持續性。distributable元素直接出現在discription元素之後,並且不包含子元素或資料,它只是一個如下的標誌。
<distributable />
l resource-env-ref
resource-env-ref元素宣告一個與某個資源有關的管理物件。此元素由一個可選的description元素、一個resource-env-ref-name元素(一個相對於java:comp/env環境的JNDI名)以及一個resource-env-type元素(指定資源型別的完全限定的類),如下所示:
<resource-env-ref>
<resource-env-ref-name>
jms/StockQueue
</resource-env-ref-name>
<resource-env-ref-type>
javax.jms.Queue
</resource-env-ref-type>
</resource-env-ref>
l env-entry
env-entry元素宣告Web應用的環境項。它由一個可選的description元素、一個env-entry-name元素(一個相對於java:comp/env環境JNDI名)、一個env-entry-value元素(項值)以及一個env-entry-type元素(java.lang程式包中一個型別的完全限定類名,java.lang.Boolean、java.lang.String等)組成。下面是一個例子:
<env-entry>
<env-entry-name>minAmout</env-entry-name>
<env-entry-value>100.00</env-entry-value>
<env-entry-type>minAmout</env-entry-type>
</env-entry>
l ejb-ref
ejb-ref元素宣告對一個EJB的主目錄的應用。它由一個可選的description元素、一個ejb-ref-name元素(相對於java:comp/env的EJB應用)、一個ejb-ref-type元素(bean的型別,Entity或Session)、一個home元素(bean的主目錄介面的完全限定名)、一個remote元素(bean的遠端介面的完全限定名)以及一個可選的ejb-link元素(當前bean連結的另一個bean的名稱)組成。
l ejb-local-ref
ejb-local-ref元素宣告一個EJB的本地主目錄的引用。除了用local-home代替home外,此元素具有與ejb-ref元素相同的屬性並以相同的方式使用。