web.xml配置詳解

来源:http://www.cnblogs.com/lycsky/archive/2016/03/25/5320001.html
-Advertisement-
Play Games

1、定義頭和根元素 部署描述符文件就像所有XML文件一樣,必須以一個XML頭開始。這個頭聲明可以使用的XML版本並給出文 件的字元編碼。 DOCYTPE聲明必須立即出現在此頭之後。這個聲明告訴伺服器適用的servlet規範的版本(如2.2或2.3)並 指定管理此文件其餘部分內容的語法的DTD(Doc... ...


1、定義頭和根元素

部署描述符文件就像所有XML文件一樣,必須以一個XML頭開始。這個頭聲明可以使用的XML版本並給出文

件的字元編碼。

DOCYTPE聲明必須立即出現在此頭之後。這個聲明告訴伺服器適用的servlet規範的版本(如2.2或2.3)並

指定管理此文件其餘部分內容的語法的DTD(Document Type Definition,文檔類型定義)。

所有部署描述符文件的頂層(根)元素為web-app。請註意,XML元素不像HTML,他們是大小寫敏感的。因

此,web-App和WEB-APP都是不合法的,web-app必須用小寫。

XML 元素不僅是大小寫敏感的,而且它們還對出現在其他元素中的次序敏感。例如,XML頭必須是文件中

的第一項,DOCTYPE聲明必須是第二項,而web- app元素必須是第三項。在web-app元素內,元素的次序也

很重要。伺服器不一定強制要求這種次序,但它們允許(實際上有些伺服器就是這樣做的)完全 拒絕執

行含有次序不正確的元素的Web應用。這表示使用非標準元素次序的web.xml文件是不可移植的。

<?xml version="1.0" encoding="UTF-8"?>  
<!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd">

2、元素詳解

下麵的列表給出了所有可直接出現在web-app元素內的合法元素所必需的次序。例如,此列表說明servlet元素必須出現在所有servlet-mapping元素之前。請註意,所有這些元素都是可選的。因此,可以省略掉某一元素,但不能把它放於不正確的位置。

icon icon元素指出IDE和GUI工具用來表示Web應用的一個和兩個圖像文件的位置。  
display-name display-name元素提供GUI工具可能會用來標記這個特定的Web應用的一個名稱。  
description description元素給出與此有關的說明性文本。  
context-param context-param元素聲明應用範圍內的初始化參數。  
filter 過濾器元素將一個名字與一個實現javax.servlet.Filter介面的類相關聯。  
filter-mapping 一旦命名了一個過濾器,就要利用filter-mapping元素把它與一個或多個servlet或JSP頁面相關聯。  
listener servlet API的版本2.3增加了對事件監聽程式的支持,事件監聽程式在建立、修改和刪除會話或servlet環境時得到通知。Listener元素指出事件監聽程式類。  
servlet 在向servlet或JSP頁面制定初始化參數或定製URL時,必須首先命名servlet或JSP頁面。Servlet元素就是用來完成此項任務的。  
servlet-mapping 伺服器一般為servlet提供一個預設的URL:<a href="http://host/webAppPrefix/servlet/ServletName">http://host/webAppPrefix/servlet/ServletName</a>。但是,常常會更改這個URL,以便servlet可以訪問初始化參數或更容易地處理相對URL。在更改預設URL時,使用servlet-mapping元素。  
session-config 如果某個會話在一定時間內未被訪問,伺服器可以拋棄它以節省記憶體。可通過使用HttpSession的setMaxInactiveInterval方法 明確設置單個會話對象的超時值,或者可利用session-config元素制定預設超時值。  
mime-mapping 如果Web應用具有想到特殊的文件,希望能保證給他們分配特定的MIME類型,則mime-mapping元素提供這種保證。  
welcom-file-list welcome-file-list元素指示伺服器在收到引用一個目錄名而不是文件名的URL時,使用哪個文件。  
error-page error-page元素使得在返回特定HTTP狀態代碼時,或者特定類型的異常被拋出時,能夠制定將要顯示的頁面。  
taglib taglib元素對標記庫描述符文件(Tag Libraryu Descriptor file)指定別名。此功能使你能夠更改TLD文件的位置,而不用編輯使用這些文件的JSP頁面。  
resource-env-ref resource-env-ref元素聲明與資源相關的一個管理對象。  
resource-ref resource-ref元素聲明一個資源工廠使用的外部資源。  
security-constraint security-constraint元素制定應該保護的URL。它與login-config元素聯合使用  
login-config 用login-config元素來指定伺服器應該怎樣給試圖訪問受保護頁面的用戶授權。它與sercurity-constraint元素聯合使用。  
security-role security-role元素給出安全形色的一個列表,這些角色將出現在servlet元素內的security-role-ref元素的role-name子元素中。分別地聲明角色可使高級IDE處理安全信息更為容易。  
env-entry env-entry元素聲明Web應用的環境項。  
ejb-ref ejb-ref元素聲明一個EJB的主目錄的引用。  
ejb-local-ref ejb-local-ref元素聲明一個EJB的本地主目錄的應用。

 

3、sevlet配置

<servlet>  
<servlet-name>Test</servlet-name>  
<servlet-class>moreservlets.TestServlet</servlet-class>  
</servlet>

這 表示位於WEB-INF/classes/moreservlets/TestServlet的servlet已經得到了註冊名Test。給 servlet一個名稱具有兩個主要的含義。首先,初始化參數、定製的URL模式以及其他定製通過此註冊名而不是類名引用此servlet。其次,可在 URL而不是類名中使用此名稱。因此,利用剛纔給出的定義,URL http://host/webAppPrefix/servlet/Test 可用於 http://host/webAppPrefix/servlet/moreservlets.TestServlet 的場所。

<servlet-mapping>  
<servlet-name>Test</servlet-name>  
<url-pattern>/UrlTest</url-pattern>  
</servlet-mapping>

註意:元素出現地次序不是隨意的。特別是,需要把所有servlet元素放在所有 servlet-mapping元素之前。

4、初始化和預裝載servlet與JSP頁面

這裡討論控制servlet和JSP頁面的啟動行為的方法。特別是,說明瞭怎樣分配初始化參數以及怎樣更改伺服器生存期中裝載servlet和JSP頁面的時刻。

利 用init-param元素向servlet提供初始化參數,init-param元素具有param-name和param-value子元素。例如, 在下麵的例子中,如果initServlet servlet是利用它的註冊名(InitTest)訪問的,它將能夠從其方法中調用getServletConfig(). getInitParameter("param1")獲得"Value 1",調用getServletConfig().getInitParameter("param2")獲得"2"。

<servlet>  
<servlet-name>InitTest</servlet-name>  
<servlet-class>moreservlets.InitServlet</servlet-class>  
<init-param>  
<param-name>param1</param-name>  
<param-value>value1</param-value>  
</init-param>  
<init-param>  
<param-name>param2</param-name>  
<param-value>2</param-value>  
</init-param>  
</servlet>

在涉及初始化參數時,有幾點需要註意:

a.返回值。GetInitParameter的返回值總是一個String

b.JSP中的初始化。JSP頁面使用jspInit而不是init。JSP頁面還需要使用jsp-file元素代替servlet-class。

c.預設URL。初始化參數只在通過它們的註冊名或與它們註冊名相關的定製URL模式訪問Servlet時可以使用。

程式清單5-7 InitServlet.java  
package moreservlets;  
  
import java.io.*;  
import javax.servlet.*;  
import javax.servlet.http.*;  
  
/** Simple servlet used to illustrate servlet 
* initialization parameters. 
* <P> 
* Taken from More Servlets and JavaServer Pages 
* from Prentice Hall and Sun Microsystems Press, 
* http://www.moreservlets.com/. 
* © 2002 Marty Hall; may be freely used or adapted. 
*/  
  
public class InitServlet extends HttpServlet {  
private String firstName, emailAddress;  
  
public void init() {  
ServletConfig config = getServletConfig();  
firstName = config.getInitParameter("firstName");  
emailAddress = config.getInitParameter("emailAddress");  
}  
  
public void doGet(HttpServletRequest request,  
HttpServletResponse response)  
throws ServletException, IOException {  
response.setContentType("text/html");  
PrintWriter out = response.getWriter();  
String uri = request.getRequestURI();  
out.println(ServletUtilities.headWithTitle("Init Servlet") +  
"<BODY BGCOLOR=\"#FDF5E6\">\n" +  
"<H2>Init Parameters:</H2>\n" +  
"<UL>\n" +  
"<LI>First name: " + firstName + "\n" +  
"<LI>Email address: " + emailAddress + "\n" +  
"</UL>\n" +   
"</BODY></HTML>");  
}  
}

4.2分配JSP初始化參數

給JSP頁面提供初始化參數在三個方面不同於給servlet提供初始化參數。

1)使用jsp-file而不是servlet-class。因此,WEB-INF/web.xml文件的servlet元素如下所示:

<servlet>  
<servlet-name>PageName</servlet-name>  
<jsp-file>/RealPage.jsp</jsp-file>  
<init-param>  
<param-name>...</param-name>  
<param-value>...</param-value>  
</init-param>  
...  
</servlet>

2) 幾乎總是分配一個明確的URL模式。對servlet,一般相應地使用以http://host/webAppPrefix/servlet/ 開始的預設URL。只需記住,使用註冊名而不是原名稱即可。這對於JSP頁面在技術上也是合法的。例如,在上面給出的例子中,可用URL http://host/webAppPrefix/servlet/PageName 訪問RealPage.jsp的對初始化參數具有訪問權的版本。但在用於JSP頁面時,許多用戶似乎不喜歡應用常規的servlet的URL。此外,如果 JSP頁面位於伺服器為其提供了目錄清單的目錄中(如,一個既沒有index.html也沒有index.jsp文件的目錄),則用戶可能會連接到此 JSP頁面,單擊它,從而意外地激活未初始化的頁面。因此,好的辦法是使用url-pattern(5.3節)將JSP頁面的原URL與註冊的 servlet名相關聯。這樣,客戶機可使用JSP頁面的普通名稱,但仍然激活定製的版本。例如,給定來自項目1的servlet定義,可使用下麵的 servlet-mapping定義:

<servlet-mapping>  
<servlet-name>PageName</servlet-name>  
<url-pattern>/RealPage.jsp</url-pattern>  
</servlet-mapping>

3)JSP頁使用jspInit而不是init。自動從JSP頁面建立的servlet或許已經使用了inti方法。因此,使用JSP聲明提供一個init方法是不合法的,必須制定jspInit方法。

為了說明初始化JSP頁面的過程,程式清單5-9給出了一個名為InitPage.jsp的JSP頁面,它包含一個jspInit方法且放置於 deployDemo Web應用層次結構的頂層。一般,http://host/deployDemo/InitPage.jsp 形式的URL將激活此頁面的不具有初始化參數訪問權的版本,從而將對firstName和emailAddress變數顯示null。但是, web.xml文件(程式清單5-10)分配了一個註冊名,然後將該註冊名與URL模式/InitPage.jsp相關聯。

程式清單5-9 InitPage.jsp  
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">  
<HTML>  
<HEAD><TITLE>JSP Init Test</TITLE></HEAD>  
<BODY BGCOLOR="#FDF5E6">  
<H2>Init Parameters:</H2>  
<UL>  
<LI>First name: <%= firstName %>  
<LI>Email address: <%= emailAddress %>  
</UL>  
</BODY></HTML>  
<%!  
private String firstName, emailAddress;  
  
public void jspInit() {  
ServletConfig config = getServletConfig();  
firstName = config.getInitParameter("firstName");  
emailAddress = config.getInitParameter("emailAddress");  
}  
%>
程式清單5-10 web.xml(說明JSP頁面的init參數的摘錄)  
<?xml version="1.0" encoding="ISO-8859-1"?>  
<!DOCTYPE web-app  
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"  
"http://java.sun.com/dtd/web-app_2_3.dtd">  
  
<web-app>  
<!-- ... -->  
<servlet>  
<servlet-name>InitPage</servlet-name>  
<jsp-file>/InitPage.jsp</jsp-file>  
<init-param>  
<param-name>firstName</param-name>  
<param-value>Bill</param-value>  
</init-param>  
<init-param>  
<param-name>emailAddress</param-name>  
<param-value>[email protected]</param-value>  
</init-param>  
</servlet>  
<!-- ... -->   
<servlet-mapping>  
<servlet-name> InitPage</servlet-name>  
<url-pattern>/InitPage.jsp</url-pattern>  
</servlet-mapping>  
<!-- ... -->  
</web-app>

4.3、提供應用範圍內的初始化參數

一 般,對單個地servlet或JSP頁面分配初始化參數。指定的servlet或JSP頁面利用ServletConfig的 getInitParameter方法讀取這些參數。但是,在某些情形下,希望提供可由任意servlet或JSP頁面藉助ServletContext 的getInitParameter方法讀取的系統範圍內的初始化參數。

可利用context-param元素聲明這些系統範圍內的初始化值。context-param元素應該包含param-name、param-value以及可選的description子元素,如下所示:

<context-param>  
<param-name>support-email</param-name>  
<param-value>[email protected]</param-value>  
</context-param>

web.xml內的元素必須以正確的次序聲明。但這裡應該註意,context-param元素必須出現任意與文檔有關的元 素(icon、display-name或description)之後及filter、filter-mapping、listener或 servlet元素之前。

4.4、 在伺服器啟動時裝載servlet

假如servlet或JSP頁面有一個要花很長時間執行的init (servlet)或jspInit(JSP)方法。例如,假如init或jspInit方法從某個資料庫或ResourceBundle查找產量。這種 情況下,在第一個客戶機請求時裝載servlet的預設行為將對第一個客戶機產生較長時間的延遲。因此,可利用servlet的load-on- startup元素規定伺服器在第一次啟動時裝載servlet。下麵是一個例子。

<servlet>  
<servlet-name></servlet-name>  
<servlet-class></servlet-class> <!-- Or jsp-file -->  
<load-on-startup/>  
</servlet>

可 以為此元素體提供一個整數而不是使用一個空的load-on-startup。想法是伺服器應該在裝載較大數目的servlet或JSP頁面之前裝載較少 數目的servlet或JSP頁面。例如,下麵的servlet項(放置在Web應用的WEB-INF目錄下的web.xml文件中的web-app元素 內)將指示伺服器首先裝載和初始化SearchServlet,然後裝載和初始化由位於Web應用的result目錄中的index.jsp文件產生的 servlet。

<servlet>  
<servlet-name>Search</servlet-name>  
<servlet-class>myPackage.SearchServlet</servlet-class> <!-- Or jsp-file -->  
<load-on-startup>1</load-on-startup>  
</servlet>  
<servlet>  
<servlet-name>Results</servlet-name>  
<servlet-class>/results/index.jsp</servlet-class> <!-- Or jsp-file -->  
<load-on-startup>2</load-on-startup>  
</servlet>

5、聲明過濾器

servlet版本2.3引入了過濾器的概念。雖然所有支持servlet API版本2.3的伺服器都支持過濾器,但為了使用與過濾器有關的元素,必須在web.xml中使用版本2.3的DTD。

過 濾器可截取和修改進入一個servlet或JSP頁面的請求或從一個servlet或JSP頁面發出的相應。在執行一個servlet或JSP頁面之前, 必須執行第一個相關的過濾器的doFilter方法。在該過濾器對其FilterChain對象調用doFilter時,執行鏈中的下一個過濾器。如果沒 有其他過濾器,servlet或JSP頁面被執行。過濾器具有對到來的ServletRequest對象的全部訪問權,因此,它們可以查看客戶機名、查找 到來的cookie等。為了訪問servlet或JSP頁面的輸出,過濾器可將響應對象包裹在一個替身對象(stand-in object)中,比方說把輸出累加到一個緩衝區。在調用FilterChain對象的doFilter方法之後,過濾器可檢查緩衝區,如有必要,就對它 進行修改,然後傳送到客戶機。

例如,程式清單5-11帝國難以了一個簡單的過濾器,只要訪問相關的servlet或JSP頁面,它就截取請求併在標準輸出上列印一個報告(開發過程中在桌面系統上運行時,大多數伺服器都可以使用這個過濾器)。

程式清單5-11 ReportFilter.java  
package moreservlets;  
  
import java.io.*;  
import javax.servlet.*;  
import javax.servlet.http.*;  
import java.util.*;  
  
/** Simple filter that prints a report on the standard output  
* whenever the associated servlet or JSP page is accessed. 
* <P> 
* Taken from More Servlets and JavaServer Pages 
* from Prentice Hall and Sun Microsystems Press, 
* http://www.moreservlets.com/. 
* © 2002 Marty Hall; may be freely used or adapted. 
*/  
  
public class ReportFilter implements Filter {  
public void doFilter(ServletRequest request,  
ServletResponse response,  
FilterChain chain)  
throws ServletException, IOException {  
HttpServletRequest req = (HttpServletRequest)request;  
System.out.println(req.getRemoteHost() +  
" tried to access " +  
req.getRequestURL() +  
" on " + new Date() + ".");  
chain.doFilter(request,response);  
}  
  
public void init(FilterConfig config)  
throws ServletException {  
}  
  
public void destroy() {}  
}

一 旦建立了一個過濾器,可以在web.xml中利用filter元素以及filter-name(任意名稱)、file-class(完全限定的類名)和 (可選的)init-params子元素聲明它。請註意,元素在web.xml的web-app元素中出現的次序不是任意的;允許伺服器(但不是必需的) 強制所需的次序,並且實際中有些伺服器也是這樣做的。但這裡要註意,所有filter元素必須出現在任意filter-mapping元素之前, filter-mapping元素又必須出現在所有servlet或servlet-mapping元素之前。

例如,給定上述的ReportFilter類,可在web.xml中作出下麵的filter聲明。它把名稱Reporter與實際的類ReportFilter(位於moreservlets程式包中)相關聯。

<filter>
<filter-name>Reporter</filter-name>
<filter-class>moresevlets.ReportFilter</filter-class>
</filter>

一旦命名了一個過濾器,可利用filter-mapping元素把它與一個或多個servlet或JSP頁面相關聯。關於此項工作有兩種選擇。

首 先,可使用filter-name和servlet-name子元素把此過濾器與一個特定的servlet名(此servlet名必須稍後在相同的 web.xml文件中使用servlet元素聲明)關聯。例如,下麵的程式片斷指示系統只要利用一個定製的URL訪問名為SomeServletName 的servlet或JSP頁面,就運行名為Reporter的過濾器。

<filter-mapping>  
<filter-name>Reporter</filter-name>  
<servlet-name>SomeServletName</servlet-name>  
</filter-mapping>

其次,可利用filter-name和url-pattern子元素將過濾器與一組servlet、JSP頁面或靜態內容相關聯。例如,相面的程式片段指示系統只要訪問Web應用中的任意URL,就運行名為Reporter的過濾器。

<filter-mapping>  
<filter-name>Reporter</filter-name>  
<url-pattern>/*</url-pattern>  
</filter-mapping>

例 如,程式清單5-12給出了將ReportFilter過濾器與名為PageName的servlet相關聯的web.xml文件的一部分。名字 PageName依次又與一個名為TestPage.jsp的JSP頁面以及以模式http: //host/webAppPrefix/UrlTest2/ 開頭的URL相關聯。TestPage.jsp的源代碼已經JSP頁面命名的談論在前面的3節"分配名稱和定製的URL"中給出。事實上,程式清單5- 12中的servlet和servlet-name項從該節原封不動地拿過來的。給定這些web.xml項,可看到下麵的標準輸出形式的調試報告(換行是 為了容易閱讀)。

audit.irs.gov tried to access 
http://mycompany.com/deployDemo/UrlTest2/business/tax-plan.html
on Tue Dec 25 13:12:29 EDT 2001.

程式清單5-12 Web.xml(說明filter用法的摘錄)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>
<filter>
<filter-name>Reporter</filter-name>
<filter-class>moresevlets.ReportFilter</filter-class>
</filter>
<!-- ... -->
<filter-mapping>
<filter-name>Reporter</filter-name>
<servlet-name>PageName</servlet-name>
</filter-mapping>
<!-- ... -->
<servlet>
<servlet-name>PageName</servlet-name>
<jsp-file>/RealPage.jsp</jsp-file>
</servlet>
<!-- ... -->
<servlet-mapping>
<servlet-name> PageName </servlet-name>
<url-pattern>/UrlTest2/*</url-pattern>
</servlet-mapping>
<!-- ... -->
</web-app>

6、指定歡迎頁

假 如用戶提供了一個像http: //host/webAppPrefix/directoryName/ 這樣的包含一個目錄名但沒有包含文件名的URL,會發生什麼事情呢?用戶能得到一個目錄表?一個錯誤?還是標準文件的內容?如果得到標準文件內容,是 index.html、index.jsp、default.html、default.htm或別的什麼東西呢?

Welcome-file-list 元素及其輔助的welcome-file元素解決了這個模糊的問題。例如,下麵的web.xml項指出,如果一個URL給出一個目錄名但未給出文件名,服 務器應該首先試用index.jsp,然後再試用index.html。如果兩者都沒有找到,則結果有賴於所用的伺服器(如一個目錄列表)。

<welcome-file-list>
<welcome-file>index.jsp</welcome-file>
<welcome-file>index.html</welcome-file>
</welcome-file-list>

雖然許多伺服器預設遵循這種行為,但不一定必須這樣。因此,明確地使用welcom-file-list保證可移植性是一種良好的習慣。

7、指定處理錯誤的頁面

現 在我瞭解到,你在開發servlet和JSP頁面時從不會犯錯誤,而且你的所有頁面是那樣的清晰,一般的程式員都不會被它們的搞糊塗。但是,是人總會犯錯 誤的,用戶可能會提供不合規定的參數,使用不正確的URL或者不能提供必需的表單欄位值。除此之外,其它開發人員可能不那麼細心,他們應該有些工具來剋服 自己的不足。

error-page元素就是用來剋服這些問題的。它有兩個可能的子元素,分別是:error-code和exception- type。第一個子元素error-code指出在給定的HTTP錯誤代碼出現時使用的URL。第二個子元素excpetion-type指出在出現某個 給定的Java異常但未捕捉到時使用的URL。error-code和exception-type都利用location元素指出相應的URL。此 URL必須以/開始。location所指出的位置處的頁面可通過查找HttpServletRequest對象的兩個專門的屬性來訪問關於錯誤的信息, 這兩個屬性分別是:javax.servlet.error.status_code和javax.servlet.error.message。

可回憶一下,在web.xml內以正確的次序聲明web-app的子元素很重要。這裡只要記住,error-page出現在web.xml文件的末尾附近,servlet、servlet-name和welcome-file-list之後即可。

7.1、 error-code元素

為了更好地瞭解error-code元素的值,可考慮一下如果不正確地輸入文件名,大多數站點會作出什麼反映。這樣做一般會出現一個404錯誤信息,它表示不能找到該文件,但幾乎沒提供更多有用的信息。另一方面,可以試一下在www.microsoft.com、www.ibm.com 處或者特別是在www.bea.com 處輸出未知的文件名。這是會得出有用的消息,這些消息提供可選擇的位置,以便查找感興趣的頁面。提供這樣有用的錯誤頁面對於Web應用來說是很有價值得。 事實上rm-error-page子元素)。由form-login-page給出的HTML表單必須具有一個j_security_check的 ACTION屬性、一個名為j_username的用戶名文本欄位以及一個名為j_password的口令欄位。

例如,程式清單5-19指示伺服器使用基於表單的驗證。Web應用的頂層目錄中的一個名為login.jsp的頁面將收集用戶名和口令,並且失敗的登陸將由相同目錄中名為login-error.jsp的頁面報告。

程式清單5-19 web.xml(說明login-config的摘錄)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>
<!-- ... -->
<security-constraint> ... </security-constraint>
<login-config>
<auth-method> FORM </auth-method>
<form-login-config>
<form-login-page>/login.jsp</form-login-page>
<form-error-page>/login-error.jsp</form-error-page>
</form-login-config>
</login-config>
<!-- ... -->
</web-app>

7.2、限制對Web資源的訪問

現 在,可以指示伺服器使用何種驗證方法了。"了不起,"你說道,"除非我能指定一個來收到保護的 URL,否則沒有多大用處。"沒錯。指出這些URL並說明他們應該得到何種保護正是security-constriaint元素的用途。此元素在 web.xml中應該出現在login-config的緊前面。它包含是個可能的子元素,分別是:web-resource-collection、 auth-constraint、user-data-constraint和display-name。下麵各小節對它們進行介紹。

a.web-resource-collection

此 元素確定應該保護的資源。所有security-constraint元素都必須包含至少一個web-resource-collection項。此元素 由一個給出任意標識名稱的web-resource-name元素、一個確定應該保護的URL的url-pattern元素、一個指出此保護所適用的 HTTP命令(GET、POST等,預設為所有方法)的http-method元素和一個提供資料的可選description元素組成。例如,下麵的 Web-resource-collection項(在security-constratint元素內)指出Web應用的proprietary目錄中 所有文檔應該受到保護。

<security-constraint>
<web-resource-coolection>
<web-resource-name>Proprietary</web-resource-name>
<url-pattern>/propritary/*</url-pattern>
</web-resource-coolection>
<!-- ... -->
</security-constraint>

重 要的是應該註意到,url-pattern僅適用於直接訪問這些資源的客戶機。特別是,它不適合於通過MVC體繫結構利用 RequestDispatcher來訪問的頁面,或者不適合於利用類似jsp:forward的手段來訪問的頁面。這種不勻稱如果利用得當的話很有好 處。例如,servlet可利用MVC體繫結構查找數據,把它放到bean中,發送請求到從bean中提取數據的JSP頁面並顯示它。我們希望保證決不直 接訪問受保護的JSP頁面,而只是通過建立該頁面將使用的bean的servlet來訪問它。url-pattern和auth-contraint元素 可通過聲明不允許任何用戶直接訪問JSP頁面來提供這種保證。但是,這種不勻稱的行為可能讓開發人員放鬆警惕,使他們偶然對應受保護的資源提供不受限制的 訪問。

b. auth-constraint

儘管web-resource-collention元素質出了哪些URL應該受到保護, 但是auth-constraint元素卻指出哪些用戶應該具有受保護資源的訪問權。此元素應該包含一個或多個標識具有訪問許可權的用戶類別role- name元素,以及包含(可選)一個描述角色的description元素。例如,下麵web.xml中的security-constraint元素部 門規定只有指定為Administrator或Big Kahuna(或兩者)的用戶具有指定資源的訪問權。

<security-constraint>
<web-resource-coolection> ... </web-resource-coolection>
<auth-constraint>
<role-name>administrator</role-name>
<role-name>kahuna</role-name>
</auth-constraint>
<

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 語言的競爭從未消停。 但如果仔細發現,會看到所有的語言競爭都是這個模式: A. 我發現A語言有個X功能,寫起來特別爽,B語言就特別齪 B. 滾粗,B語言有Y功能,一樣可以YY A. 去,你根本不瞭解X功能,那才叫優雅 B. (自覺理虧)B語言還有Z優點, A語言就沒有! 仔細看看這段對話,沒錯,程式 ...
  • 想要實現文件放盜鏈的功能 首先添加一個全局文件 Global.asax 在 Application_BeginRequest中我們可以判斷Http報文頭中的UrlReferre是否來源本站。 ...
  • 先說一下VS解決方案中bin和obj這兩文件夾是什麼東東,以下信息源自百度。 bin目錄用來保存項目生成後程式集,它有Debug和Release兩個版本,分別對應的文件夾為bin/Debug和bin/Release,這個文件夾是預設的輸出路徑,我們可以通過:項目屬性—>配置屬性—>輸出路徑來修改。 ...
  • 在模型類Movie中添加一個新的屬性Rating 重新編譯重新生成解決方案,快捷鍵Ctrl+Shift+B;然後對去對應的視圖添加新的數據,如Index.cshtml中 編輯完成,運行之後系統報了一個異常:“System.InvalidOperationException”類型的異常在 Entity ...
  • 首先提一下,個人在項目中已經很少用到數組了,更多的時候使用List<>。 數組大小固定,如果只是用來存放數據,專門用來讀取,更改當然方便。但是更多的時候我們需要進行增刪改,這個時候用List<>反而更好。 所有數組類型都從System.Array抽象類隱式派生,後者又派生自System.Object ...
  • 本文內容全部出自《Python基礎教程》第二版,在此分享自己的學習之路。 lxx___歡迎轉載:http://www.cnblogs.com/Marlowes/p/5320049.htmllxx___ Created on Xu Hoo 我們已經瞭解到,列表這種數據結構適合於將值組織到一個結構中,並 ...
  • 概念: JSP內置對象是Web容器創建的一組對象,不使用new關鍵字創建,就可以直接使用。 常用的JSP內置對象: out對象 緩衝區——Buffer,就是記憶體的一塊區域,用來保存臨時數據。 out對象是JSPWriter類的實例,向客戶端輸出內容時常用的對象。 out對象常用的方法有: void ...
  • activemq官網給出了3種master/slave的HA方案,詳見:http://activemq.apache.org/masterslave.html ,基於共用文件目錄,db,zookeeper。 下麵演示瞭如何在本機搭建基於zookeeper的activemq集群: 一、在目錄activ ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...