JavaWeb-web.xml
web.xml是Servlet规范制定的JavaWeb应用发布描述文件.
二级元素
| 名称 | 描述 | 常用 |
|---|---|---|
| display-name | 定义了WEB应用的名字 | T |
| description | 声明WEB应用的描述信息 | T |
| distributable | 元素为空标签,它的存在与否可以指定站台是否可分布式处理.如果web.xml中出现这个元素,则代表站台在开发时已经 被设计为能在多个JSP Container 之间分散执行. | F |
| context-param | 声明应用范围内的初始化参数。在应用内共享. | T |
| filter | 过滤器元素将一个名字与一个实现javax.servlet.Filter接口的类相关联。 | T |
| filter-mapping | 一旦命名了一个过滤器,就要利用filter-mapping元素把它与一个或多个servlet或JSP页面相关联。 | T |
| listener | servlet API的版本2.3增加了对事件监听程序的支持,事件监听程序在建立、修改和删除会话或servlet环境时得到通知。Listener元素指出事件监听程序类。 | T |
| servlet | 在向servlet或JSP页面制定初始化参数或定制URL时,必须首先命名servlet或JSP页面。Servlet元素就是用来完成此项任务的。 | T |
| servlet-mapping | 定义了servlet与url之间的映射关系,其name与 |
T |
| session-config | 如果某个会话在一定时间内未被访问,服务器可以抛弃它以节省内存。 可通过使用HttpSession的setMaxInactiveInterval方法明确设置单个会话对象的超时值,或者可利用session-config元素制定缺省超时值。 |
T |
| mime-mapping | 如果Web应用具有想到特殊的文件,希望能保证给他们分配特定的MIME类型,则mime-mapping元素提供这种保证。 | F |
| welcome-file-list | 欢迎页面(html,htm或jsp等) |
T |
| error-page | 异常被抛出时,指定将要显示的页面。 | T |
| jsp-config | 用于为Web应用程序中的JSP文件提供全局配置信息。 它有两个子元素,taglib和jsp-property-group。 |
F |
| security-constraint | 用于将安全约束与一个或多个Web资源集合相关联 | F |
| login-config | 指定服务器应该怎样给试图访问受保护页面的用户授权。它与sercurity-constraint元素联合使用。 |
T |
| security-role | 定义安全角色.该定义包括对安全角色的可选描述以及安全角色名称。 | F |
| resource-env-refType | 声明与资源相关的一个管理对象。 | F |
| resource-ref | 声明一个资源工厂使用的外部资源。 | F |
配置过滤器
对于Servlet容器收到的客户请求,以及发出的响应结果,过滤器都能检查和修改其中的信息.在web应用中加入过滤器,需要在web.xml中配置两个元素:
SampleFilter
com.yan.SampleFilter
以上代码定义了一个过滤器,名为SampleFilter,实现这个过滤器的类是com.yan.SampleFilter.
| 属性 | 描述 |
|---|---|
| 定义过滤器的名字,当Web应用中有多个过滤器时,不允许重名 | |
| 指定实现这一过滤器的类,这个类负责具体的过滤事务. | |
URL,一下是示范:
SampleFilter
*.jsp
以上代码指明当客户请求访问Web应用中的所有JSP文件时,将触发SampleFilter过滤器工作.具体的过滤事务由在
| 属性 | 描述 |
|---|---|
|
指定过滤器名,这里的过滤器名必须和 |
|
指定过滤器负责过滤的URL |
配置Servlet
Servlet,以下代码定义了一个名为SampleServlet的Servlet,实现这个Servlet类的是com.yan.servlet.SampleServlet:
SampleServlet
com.yan.servlet.SampleServlet
| 属性 | 描述 |
|---|---|
|
定义Servlet名字 |
|
指定实现这个Servlet的类 |
|
定义Servlet的初始化参数,对应的是包含参数名和参数值,在一个 Servlet类中通过getInitParameter(String name)方法访问初始化参数. |
|
指定当Web应用启动时,加载Servlet的次序,当这个值为正数或0时,Servlet容器先加载数值较小的Servlet,如果为负数或没有设定,那么Servlet容器将在Web客户首次访问这个Servlet时加载它,即懒加载. |
配置Servlet映射
Servlet的URL,以下代码为SampleServlet指定URL为/sample:
SampleServlet
/sample
Servlet类名和客户访问的URL彼此独立.当Servlet类名发生改变时,只要修改
而客户端访问Servlet的URL无须做相应的改动.
| 属性 | 描述 |
|---|---|
|
指定Servlet名字,与 |
|
指定访问这个Servlet的URL,这里只需给出相对于整个Web应用的URL路径 |
配置Session
HTTP Session的生命周期.例如,如下代码指明Session可以保持不活动状态的最长时间为30秒,超过这一时间,Servlet容器将把它作为无效Session处理.
30
配置Welcome文件清单
当客户访问Web应用时,如果仅仅给出Web应用的Root URL,没有指定具体的文件名或资源路径,Servlet会自动调用Web应用的Welcome文件.Welcome文件清单.:
login.jsp
login.html
配置资源引用
如果Web应用访问了由Servlet容器管理的某个JNDI Resource,则必须在web.xml文件中声明对这个JNDI Resource的引用.表示资源引用的元素为
DB Connection
jdbc/sampleDB
javax.sql.DataSource
Container
其子元素描述:
| 属性 | 描述 |
|---|---|
|
说明 |
|
指定所引用资源的JNDI名字 |
|
指定所引用资源的类名字 |
|
指定管理所引用资源的Manager,有两个可选值:Container和Application,分别表示由容器还是Web应用来创建和管理Resource. |
配置安全约束
Web应用应以安全约束.以下代码指明当前用户访问该Web应用下的所有资源时,必须具备admin角色.
sample application
/*
POST
admin
NONE
| 元素 | 描述 |
|---|---|
|
声明受保护的Web资源 |
|
声明可以访问受保护的资源的角色,可以包含多个 |
|
核心是NONE,INTEGRAL或CONFIDENTIAL。默认为 NONE,表示该应用程序不需要任何运输保证。值 INTEGRAL表示应用程序要求在客户端和服务器之间发送的数据必须以在传输过程中无法更改的方式发送。机密意味着应用程序要求以防止其他实体观察传输内容的方式传输数据。 在大多数情况下,如果出现 INTEGRAL或CONFIDENTIAL标志,则表明需要使用SSL。 |
| 元素 | 描述 |
|---|---|
|
标识受保护的Web资源 |
|
指定受保护的URL路径,可以是多个 |
|
指定受保护的方法,可以是多个 |
配置安全验证登录界面
Web客户访问受保护的Web资源时,系统弹出的登录对话框的类型.以下代码配置了基于表单验证的登录界面:
FORM
Form-Based Authentication
/login.jsp
/error.jsp
| 属性 | 描述 |
|---|---|
|
指定验证方法,它有三个可选:BASIC(基本验证),DIGEST(摘要验证)和FORM(表单验证) |
|
设定安全域的名称 |
|
当验证方法为FORM时,配置验证页面和出错页面 |
|
当验证方法为FORM时,登录界面路径 |
|
当验证方法为FORM时,设定出错页面 |
配置对安全验证角色的引用
Web应用引用的所有角色的名字.例如,如下代码声明引用了admin角色:
The Role that is required to log in to the sample Application
admin
安全配置的说明
如上我们所配置的安全信息生效,需要在WEB-INF/tomcat-user.xml中配置相应的角色信息:
当用户访问当前页面/sample时,会找到tomcat-user.xml中配置的user后找到其归属的role,如果role为admin,则允许访问.