Tomcat5.5的基本配置详细说明(九)

9.2 分配角色名
迄今为止，讨论已经集中到完全由容器（服务器）处理的安全问题之上了。但servlet以及JSP页面也能够处理它们自己的安全问题。

例如，容器可能允许用户从bigwig或bigcheese角色访问一个显示主管人员额外紧贴的页面，但只允许bigwig用户修改此页面的参数。完成这种更细致的控制的一种常见方法是调用

HttpServletRequset的isUserInRole方法，并据此修改访问。

Servlet的 security-role-ref子元素提供出现在服务器专用口令文件中的安全角色名的一个别名。例如，假如编写了一个调用 request.isUserInRole（”boss”）的servlet，但

后来该servlet被用在了一个其口令文件调用角色manager而不是boss的服务器中。下面的程序段使该servlet能够使用这两个名称中的任何一个。

 

<servlet>

<!-- ... -->

<security-role-ref>

<role-name>boss</role-name> <!-- New alias -->

<role-link>manager</role-link> <!-- Real name -->

</security-role-ref>

</servlet>

也可以在web-app内利用security-role元素提供将出现在role-name元素中的所有安全角色的一个全局列表。分别地生命角色使高级IDE容易处理安全信息。

 

10控制会话超时
如果某个会话在一定的时间内未被访问，服务器可把它扔掉以节约内存。可利用HttpSession的setMaxInactiveInterval方法直接设置个别会话对象的超时值。如果不采用这种方法

，则缺省的超时值由具体的服务器决定。但可利用session-config和session- timeout元素来给出一个适用于所有服务器的明确的超时值。超时值的单位为分钟，因此，下面的例

子设置缺省会话超时值为三个小时（180分钟）。

<session-config>

<session-timeout>180</session-timeout>

</session-config>

11Web应用的文档化
越来越多的开发环境开始提供servlet和JSP的直接支持。例子有Borland Jbuilder Enterprise Edition、Macromedia UltraDev、Allaire JRun Studio（写此文时，已被

Macromedia收购）以及IBM VisuaAge for Java等。

大量的web.xml元素不仅是为服务器设计的，而且还是为可视开发环境设计的。它们包括icon、display-name和discription等。

可回忆一下，在web.xml内以适当地次序声明web-app子元素很重要。不过，这里只要记住icon、display-name和description是web.xml的web-app元素内的前三个合法元素即可。

ü     icon

icon元素指出GUI工具可用来代表Web应用的一个和两个图像文件。可利用small-icon元素指定一幅16 x 16的GIF或JPEG图像，用large-icon元素指定一幅32 x 32的图像。下面举一

个例子：

 

<icon>

<small-icon>/images/small-book.gif</small-icon>

<large-icon>/images/tome.jpg</large-icon>

</icon>

ü     display-name

display-name元素提供GUI工具可能会用来标记此Web应用的一个名称。下面是个例子。

 

<display-name>Rare Books</display-name>

 

ü     description

description元素提供解释性文本，如下所示：

 

<description>

This Web application represents the store developed for

rare-books.com, an online bookstore specializing in rare

and limited-edition books.

</description>

12关联文件与MIME类型
服务器一般都具有一种让Web站点管理员将文件扩展名与媒体相关联的方法。例如，将会自动给予名为mom.jpg的文件一个image/jpeg的MIME 类型。但是，假如你的Web应用具有几

个不寻常的文件，你希望保证它们在发送到客户机时分配为某种MIME类型。mime-mapping元素（具有 extension和mime-type子元素）可提供这种保证。例如，下面的代码指示服务

器将application/x-fubar的MIME类型分配给所有以.foo结尾的文件。

<mime-mapping>

<extension>foo</extension>

<mime-type>application/x-fubar</mime-type>

</mime-mapping>

或许，你的Web应用希望重载（override）标准的映射。例如，下面的代码将告诉服务器在发送到客户机时指定.ps文件作为纯文本（text/plain）而不是作为PostScript

（application/postscript）。

<mime-mapping>

<extension>ps</extension>

<mime-type>application/postscript</mime-type>

</mime-mapping>

13定位TLD
JSP taglib元素具有一个必要的uri属性，它给出一个TLD（Tag Library Descriptor）文件相对于Web应用的根的位置。TLD文件的实际名称在发布新的标签库版本时可能会改变，

但我们希望避免更改所有现有JSP页面。此外，可能还希望使用保持taglib元素的简练性的一个简短的uri。这就是部署描述符文件的taglib元素派用场的所在了。Taglib包含两个

子元素：taglib-uri和taglib-location。taglib-uri元素应该与用于JSP taglib元素的uri属性的东西相匹配。Taglib-location元素给出TLD文件的实际位置。例如，假如你将文

件chart-tags- 1.3beta.tld放在WebApp/WEB-INF/tlds中。现在，假如web.xml在web-app元素内包含下列内容。

<taglib>

<taglib-uri>/charts.tld</taglib-uri>

<taglib-location>

/WEB-INF/tlds/chart-tags-1.3beta.tld

</taglib-location>

</taglib>

给出这个说明后，JSP页面可通过下面的简化形式使用标签库。

<%@ taglib uri="/charts.tld" prefix="somePrefix" %>

14指定应用事件监听程序
应用事件监听器程序是建立或修改servlet环境或会话对象时通知的类。它们是servlet规范的版本2.3中的新内容。这里只简单地说明用来向Web应用注册一个监听程序的web.xml的

用法。

注册一个监听程序涉及在web.xml的web-app元素内放置一个listener元素。在listener元素内，listener-class元素列出监听程序的完整的限定类名，如下所示：

<listener>

<listener-class>package.ListenerClass</listener-class>

</listener>

虽然listener元素的结构很简单，但请不要忘记，必须正确地给出web-app元素内的子元素的次序。listener元素位于所有的servlet 元素之前以及所有filter-mapping元素之后。

此外，因为应用生存期监听程序是serlvet规范的2.3版本中的新内容，所以必须使用 web.xml DTD的2.3版本，而不是2.2版本。

例如，程序清单5-20给出一个名为ContextReporter的简单的监听程序，只要Web应用的Servlet-Context建立（如装载Web应用）或消除（如服务器关闭）时，它就在标准输出上显

示一条消息。程序清单5-21给出此监听程序注册所需要的web.xml文件的一部分。

程序清单5-20 ContextReporterjava

package moreservlets;

import javax.servlet.*;

import java.util.*;

 

public class ContextReporter implements ServletContextListener {

public void contextInitialized(ServletContextEvent event) {

System.out.println("Context created on " +

new Date() + ".");

}

 

public void contextDestroyed(ServletContextEvent event) {

System.out.println("Context destroyed on " +

new Date() + ".");

}

}

 

程序清单5-21 web.xml（声明一个监听程序的摘录）

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE web-app

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"

"http://java.sun.com/dtd/web-app_2_3.dtd">

 

<web-app>

<!-- ... -->

<filter-mapping> … </filter-mapping>

<listener>

<listener-class>package.ListenerClass</listener-class>

</listener>

<servlet> ... </servlet>

<!-- ... -->

</web-app>

15J2EE元素
本节描述用作J2EE环境组成部分的Web应用的web.xml元素。这里将提供一个简明的介绍，详细内容可以参阅http://java.sun.com/j2ee/j2ee-1_3-fr-spec.pdf的Java 2 Plantform

Enterprise Edition版本1.3规范的第5章。

15.1 distributable
distributable 元素指出，Web应用是以这样的方式编程的：即，支持集群的服务器可安全地在多个服务器上分布Web应用。例如，一个可分布的应用必须只使用 Serializable对象

作为其HttpSession对象的属性，而且必须避免用实例变量（字段）来实现持续性。distributable元素直接出现在discription元素之后，并且不包含子元素或数据，它只是一个如

下的标志。

<distributable />

15.2 resource-env-ref
resource -env-ref元素声明一个与某个资源有关的管理对象。此元素由一个可选的description元素、一个resource-env-ref- name元素（一个相对于java:comp/env环境的JNDI名

）以及一个resource-env-type元素（指定资源类型的完全限定的类），如下所示：

<resource-env-ref>

<resource-env-ref-name>

jms/StockQueue

</resource-env-ref-name>

<resource-env-ref-type>

javax.jms.Queue

</resource-env-ref-type>

</resource-env-ref>

15.3 env-entry
env -entry元素声明Web应用的环境项。它由一个可选的description元素、一个env-entry-name元素（一个相对于java: comp/env环境JNDI名）、一个env-entry-value元素（项值

）以及一个env-entry-type元素（java.lang程序包中一个类型的完全限定类名，java.lang.Boolean、java.lang.String等）组成。下面是一个例子：

<env-entry>

<env-entry-name>minAmout</env-entry-name>

<env-entry-value>100.00</env-entry-value>

<env-entry-type>minAmout</env-entry-type>

</env-entry>

15.4 ejb-ref
ejb -ref元素声明对一个EJB的主目录的应用。它由一个可选的description元素、一个ejb-ref-name元素（相对于java: comp/env的EJB应用）、一个ejb-ref-type元素（bean的类

型，Entity或Session）、一个home元素（bean的主目录接口的完全限定名）、一个remote元素（bean的远程接口的完全限定名）以及一个可选的ejb-link元素（当前bean链接的另

一个 bean的名称）组成。

15.5 ejb-local-ref
ejb-local-ref元素声明一个EJB的本地主目录的引用。除了用local-home代替home外，此元素具有与ejb-ref元素相同的属性并以相同的方式使用