| 7 指定歡迎頁
假如用戶提供了一個像http://host/webAppPrefix/directoryName/ 這樣的包含一個目錄名但沒有包含文件名的URL,會發生什麼事情呢?用戶能得到一個目錄表?一個錯誤?還是標準文件的內容?如果得到標準文件內容,是index.html、index.jsp、default.html、default.htm或別的什麼東西呢?
Welcome-file-list元素及其輔助的welcome-file元素解決了這個模糊的問題。例如,下面的web.xml項指出,如果一個URL給出一個目錄名但未給出文件名,服務器應該首先試用index.jsp,然後再試用index.html。如果兩者都沒有找到,則結果有賴於所用的服務器(如一個目錄列表)。
<welcome-file-list>
<welcome-file>index.jsp</welcome-file>
<welcome-file>index.html</welcome-file>
</welcome-file-list>
雖然許多服務器缺省遵循這種行爲,但不一定必須這樣。因此,明確地使用welcom-file-list保證可移植性是一種良好的習慣。
8 指定處理錯誤的頁面
現在我瞭解到,你在開發servlet和JSP頁面時從不會犯錯誤,而且你的所有頁面是那樣的清晰,一般的程序員都不會被它們的搞糊塗。但是,是人總會犯錯誤的,用戶可能會提供不合規定的參數,使用不正確的URL或者不能提供必需的表單字段值。除此之外,其它開發人員可能不那麼細心,他們應該有些工具來克服自己的不足。
error-page元素就是用來克服這些問題的。它有兩個可能的子元素,分別是:error-code和exception-type。第一個子元素error-code指出在給定的HTTP錯誤代碼出現時使用的URL。第二個子元素excpetion-type指出在出現某個給定的Java異常但未捕捉到時使用的URL。error-code和exception-type都利用location元素指出相應的URL。此URL必須以/開始。location所指出的位置處的頁面可通過查找HttpServletRequest對象的兩個專門的屬性來訪問關於錯誤的信息,這兩個屬性分別是:javax.servlet.error.status_code和javax.servlet.error.message。
可回憶一下,在web.xml內以正確的次序聲明web-app的子元素很重要。這裏只要記住,error-page出現在web.xml文件的末尾附近,servlet、servlet-name和welcome-file-list之後即可。
8.1 error-code元素
爲了更好地瞭解error-code元素的值,可考慮一下如果不正確地輸入文件名,大多數站點會作出什麼反映。這樣做一般會出現一個404錯誤信息,它表示不能找到該文件,但幾乎沒提供更多有用的信息。另一方面,可以試一下在www.microsoft.com、www.ibm.com 處或者特別是在www.bea.com 處輸出未知的文件名。這是會得出有用的消息,這些消息提供可選擇的位置,以便查找感興趣的頁面。提供這樣有用的錯誤頁面對於Web應用來說是很有價值得。事實上,http://www.plinko.net/404/ 就是把整個站點專門用於404錯誤頁面這個內容。這個站點包含來自全世界最好、最糟和最搞笑的404頁面。
程序清單5-13給出一個JSP頁面,此頁面可返回給提供位置程序名的客戶機。程序清單5-14給出指定程序清單5-13作爲返回404錯誤代碼時顯示的頁面的web.xml。請注意,瀏覽器中顯示的URL仍然是客戶機所提供的。錯誤頁面是一種後臺實現技術。
最後一點,請記住IE5的缺省配置顯然不符合HTTP規範,它忽略了服務器生成的錯誤消息,而是顯示自己的標準出錯信息。可轉到其Tools菜單,選擇Internet Options,單擊Advanced,取消Show Friendly HTTP Error Message來解決此問題。
程序清單5-13 NotFound.jsp
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD><TITLE>404: Not Found</TITLE></HEAD>
<BODY BGCOLOR="#FDF5E6">
<H2>Error!</H2>
I'm sorry, but I cannot find a page that matches
<%= request.getRequestURI() %> on the system. Maybe you should
try one of the following:
<UL>
<LI>Go to the server's <A HREF="/">home page</A>.
<LI>Search for relevant pages.<BR>
<FORM ACTION="http://www.google.com/search">
<CENTER>
Keywords: <INPUT TYPE="TEXT" NAME="q"><BR>
<INPUT TYPE="SUBMIT" VALUE="Search">
</CENTER>
</FORM>
<LI>Admire a random multiple of 404:
<%= 404*((int)(1000*Math.random())) %>.
<LI>Try a <A HREF="http://www.plinko.net/404/rndindex.asp"
TARGET="_blank">
random 404 error message</A>. From the amazing and
amusing plinko.net <A HREF="http://www.plinko.net/404/">
404 archive</A>.
</UL>
</BODY></HTML>
程序清單5-14 web.xml(指出HTTP錯誤代碼的錯誤頁面的摘錄)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<error-page>
<error-code>404</error-code>
<location>/NotFound.jsp</location>
</error-page>
<!-- ... -->
</web-app>
8.2 exception-type元素
error-code元素處理某個請求產生一個特定的HTTP狀態代碼時的情況。然而,對於servlet或JSP頁面返回200但產生運行時異常這種同樣是常見的情況怎麼辦呢?這正是exception-type元素要處理的情況。只需提供兩樣東西即可:即提供如下的一個完全限定的異常類和一個位置:
<error-page>
<exception-type>packageName.className</exception-type>
<location>/SomeURL</location>
</error-page>
這樣,如果Web應用中的任何servlet或JSP頁面產生一個特定類型的未捕捉到的異常,則使用指定的URL。此異常類型可以是一個標準類型,如javax.ServletException或java.lang.OutOfMemoryError,或者是一個專門針對你的應用的異常。
例如,程序清單5-15給出了一個名爲DumbDeveloperException的異常類,可用它來特別標記經驗較少的程序員(不是說你的開發組中一定有這種人)所犯的錯誤。這個類還包含一個名爲dangerousComputation的靜態方法,它時不時地生成這種類型的異常。程序清單5-16給出對隨機整數值調用dangerousCompution的一個JSP頁面。在拋出此異常時,如程序清單5-18的web.xml版本中所給出的exception-type所指出的那樣,對客戶機顯示DDE.jsp(程序清單5-17)。圖5-16和圖5-17分別給出幸運和不幸的結果。
程序清單5-15 DumbDeveloperException.java
package moreservlets;
/** Exception used to flag particularly onerous
programmer blunders. Used to illustrate the
exception-type web.xml element.
* <P>
* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/
public class DumbDeveloperException extends Exception {
public DumbDeveloperException() {
super("Duh. What was I *thinking*?");
}
public static int dangerousComputation(int n)
throws DumbDeveloperException {
if (n < 5) {
return(n + 10);
} else {
throw(new DumbDeveloperException());
}
}
}
程序清單5-16 RiskyPage.jsp
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD><TITLE>Risky JSP Page</TITLE></HEAD>
<BODY BGCOLOR="#FDF5E6">
<H2>Risky Calculations</H2>
<%@ page import="moreservlets.*" %>
<% int n = ((int)(10 * Math.random())); %>
<UL>
<LI>n: <%= n %>
<LI>dangerousComputation(n):
<%= DumbDeveloperException.dangerousComputation(n) %>
</UL>
</BODY></HTML>
程序清單5-17 DDE.jsp
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD><TITLE>Dumb</TITLE></HEAD>
<BODY BGCOLOR="#FDF5E6">
<H2>Dumb Developer</H2>
We're brain dead. Consider using our competitors.
</BODY></HTML>
程序清單5-18 web.xml(爲異常指定錯誤頁面的摘錄)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<!-- ... -->
<servlet> … </servlet>
<!-- ... -->
<error-page>
<exception-type>
moreservlets.DumbDeveloperException
</exception-type>
<location>/DDE.jsp</location>
</error-page>
<!-- ... -->
</web-app>
9 提供安全性
利用web.xml中的相關元素爲服務器的內建功能提供安全性。
9.1 指定驗證的方法
使用login-confgi元素規定服務器應該怎樣驗證試圖訪問受保護頁面的用戶。它包含三個可能的子元素,分別是:auth-method、realm-name和form-login-config。login-config元素應該出現在web.xml部署描述符文件的結尾附近,緊跟在security-constraint元素之後。
l auth-method
login-config的這個子元素列出服務器將要使用的特定驗證機制。有效值爲BASIC、DIGEST、FORM和CLIENT-CERT。服務器只需要支持BASIC和FORM。
BASIC指出應該使用標準的HTTP驗證,在此驗證中服務器檢查Authorization頭。如果缺少這個頭則返回一個401狀態代碼和一個WWW-Authenticate頭。這導致客戶機彈出一個用來填寫Authorization頭的對話框。此機制很少或不提供對攻擊者的防範,這些攻擊者在Internet連接上進行窺探(如通過在客戶機的子網上執行一個信息包探測裝置),因爲用戶名和口令是用簡單的可逆base64編碼發送的,他們很容易得手。所有兼容的服務器都需要支持BASIC驗證。
DIGEST指出客戶機應該利用加密Digest Authentication形式傳輸用戶名和口令。這提供了比BASIC驗證更高的防範網絡截取得的安全性,但這種加密比SSL(HTTPS)所用的方法更容易破解。不過,此結論有時沒有意義,因爲當前很少有瀏覽器支持Digest Authentication,所以servlet容器不需要支持它。
FORM指出服務器應該檢查保留的會話cookie並且把不具有它的用戶重定向到一個指定的登陸頁。此登陸頁應該包含一個收集用戶名和口令的常規HTML表單。在登陸之後,利用保留會話級的cookie跟蹤用戶。雖然很複雜,但FORM驗證防範網絡窺探並不比BASIC驗證更安全,如果有必要可以在頂層安排諸如SSL或網絡層安全(如IPSEC或VPN)等額外的保護。所有兼容的服務器都需要支持FORM驗證。
CLIENT-CERT規定服務器必須使用HTTPS(SSL之上的HTTP)並利用用戶的公開密鑰證書(Pulic Key Certificat)對用戶進行驗證。這提供了防範網絡截取的很強的安全性,但只有兼容J2EE的服務器需要支持它。
l realm-name
此元素只在auth-method爲BASIC時使用。它指出瀏覽器在相應對話框標題使用的、並作爲Authorization頭組成部分的安全域的名稱。
l form-login-config
此元素只在auth-method爲FORM時適用。它指定兩個頁面,分別是:包含收集用戶名及口令的HTML表單的頁面(利用form-login-page子元素),用來指示驗證失敗的頁面(利用form-error-page子元素)。由form-login-page給出的HTML表單必須具有一個j_security_check的ACTION屬性、一個名爲j_username的用戶名文本字段以及一個名爲j_password的口令字段。
例如,程序清單5-19指示服務器使用基於表單的驗證。Web應用的頂層目錄中的一個名爲login.jsp的頁面將收集用戶名和口令,並且失敗的登陸將由相同目錄中名爲login-error.jsp的頁面報告。
程序清單5-19 web.xml(說明login-config的摘錄)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<!-- ... -->
<security-constraint> ... </security-constraint>
<login-config>
<auth-method> FORM </auth-method>
<form-login-config>
<form-login-page>/login.jsp</form-login-page>
<form-error-page>/login-error.jsp</form-error-page>
</form-login-config>
</login-config>
<!-- ... -->
</web-app>
9.2 限制對Web資源的訪問
現在,可以指示服務器使用何種驗證方法了。"了不起,"你說道,"除非我能指定一個來收到保護的URL,否則沒有多大用處。"沒錯。指出這些URL並說明他們應該得到何種保護正是security-constriaint元素的用途。此元素在web.xml中應該出現在login-config的緊前面。它包含是個可能的子元素,分別是:web-resource-collection、auth-constraint、user-data-constraint和display-name。下面各小節對它們進行介紹。
l web-resource-collection
此元素確定應該保護的資源。所有security-constraint元素都必須包含至少一個web-resource-collection項。此元素由一個給出任意標識名稱的web-resource-name元素、一個確定應該保護的URL的url-pattern元素、一個指出此保護所適用的HTTP命令(GET、POST等,缺省爲所有方法)的http-method元素和一個提供資料的可選description元素組成。例如,下面的Web-resource-collection項(在security-constratint元素內)指出Web應用的proprietary目錄中所有文檔應該受到保護。
<security-constraint>
<web-resource-coolection>
<web-resource-name>Proprietary</web-resource-name>
<url-pattern>/propritary/*</url-pattern>
</web-resource-coolection>
<!-- ... -->
</security-constraint>
重要的是應該注意到,url-pattern僅適用於直接訪問這些資源的客戶機。特別是,它不適合於通過MVC體系結構利用RequestDispatcher來訪問的頁面,或者不適合於利用類似jsp:forward的手段來訪問的頁面。這種不勻稱如果利用得當的話很有好處。例如,servlet可利用MVC體系結構查找數據,把它放到bean中,發送請求到從bean中提取數據的JSP頁面並顯示它。我們希望保證決不直接訪問受保護的JSP頁面,而只是通過建立該頁面將使用的bean的servlet來訪問它。url-pattern和auth-contraint元素可通過聲明不允許任何用戶直接訪問JSP頁面來提供這種保證。但是,這種不勻稱的行爲可能讓開發人員放鬆警惕,使他們偶然對應受保護的資源提供不受限制的訪問。
l auth-constraint
儘管web-resource-collention元素質出了哪些URL應該受到保護,但是auth-constraint元素卻指出哪些用戶應該具有受保護資源的訪問權。此元素應該包含一個或多個標識具有訪問權限的用戶類別role-name元素,以及包含(可選)一個描述角色的description元素。例如,下面web.xml中的security-constraint元素部門規定只有指定爲Administrator或Big Kahuna(或兩者)的用戶具有指定資源的訪問權。
<security-constraint>
<web-resource-coolection> ... </web-resource-coolection>
<auth-constraint>
<role-name>administrator</role-name>
<role-name>kahuna</role-name>
</auth-constraint>
</security-constraint>
重要的是認識到,到此爲止,這個過程的可移植部分結束了。服務器怎樣確定哪些用戶處於任何角色以及它怎樣存放用戶的口令,完全有賴於具體的系統。
例如,Tomcat使用install_dir/conf/tomcat-users.xml將用戶名與角色名和口令相關聯,正如下面例子中所示,它指出用戶joe(口令bigshot)和jane(口令enaj)屬於administrator和kahuna角色。
<tomcat-users>
<user name="joe" password="bigshot" roles="administrator,kahuna" />
<user name="jane" password="enaj" roles="kahuna" />
</tomcat-users>
l user-data-constraint
這個可選的元素指出在訪問相關資源時使用任何傳輸層保護。它必須包含一個transport-guarantee子元素(合法值爲NONE、INTEGRAL或CONFIDENTIAL),並且可選地包含一個description元素。transport-guarantee爲NONE值將對所用的通訊協議不加限制。INTEGRAL值表示數據必須以一種防止截取它的人閱讀它的方式傳送。雖然原理上(並且在未來的HTTP版本中),在INTEGRAL和CONFIDENTIAL之間可能會有差別,但在當前實踐中,他們都只是簡單地要求用SSL。例如,下面指示服務器只允許對相關資源做HTTPS連接:
<security-constraint>
<!-- ... -->
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
l display-name
security-constraint的這個很少使用的子元素給予可能由GUI工具使用的安全約束項一個名稱。
9.3 分配角色名
迄今爲止,討論已經集中到完全由容器(服務器)處理的安全問題之上了。但servlet以及JSP頁面也能夠處理它們自己的安全問題。
例如,容器可能允許用戶從bigwig或bigcheese角色訪問一個顯示主管人員額外緊貼的頁面,但只允許bigwig用戶修改此頁面的參數。完成這種更細緻的控制的一種常見方法是調用HttpServletRequset的isUserInRole方法,並據此修改訪問。
Servlet的security-role-ref子元素提供出現在服務器專用口令文件中的安全角色名的一個別名。例如,假如編寫了一個調用request.isUserInRole("boss")的servlet,但後來該servlet被用在了一個其口令文件調用角色manager而不是boss的服務器中。下面的程序段使該servlet能夠使用這兩個名稱中的任何一個。
<servlet>
<!-- ... -->
<security-role-ref>
<role-name>boss</role-name> <!-- New alias -->
<role-link>manager</role-link> <!-- Real name -->
</security-role-ref>
</servlet>
也可以在web-app內利用security-role元素提供將出現在role-name元素中的所有安全角色的一個全局列表。分別地生命角色使高級IDE容易處理安全信息。
10 控制會話超時
如果某個會話在一定的時間內未被訪問,服務器可把它扔掉以節約內存。可利用HttpSession的setMaxInactiveInterval方法直接設置個別會話對象的超時值。如果不採用這種方法,則缺省的超時值由具體的服務器決定。但可利用session-config和session-timeout元素來給出一個適用於所有服務器的明確的超時值。超時值的單位爲分鐘,因此,下面的例子設置缺省會話超時值爲三個小時(180分鐘)。
<session-config>
<session-timeout>180</session-timeout>
</session-config>
11 Web應用的文檔化
越來越多的開發環境開始提供servlet和JSP的直接支持。例子有Borland Jbuilder Enterprise Edition、Macromedia UltraDev、Allaire JRun Studio(寫此文時,已被Macromedia收購)以及IBM VisuaAge for Java等。
大量的web.xml元素不僅是爲服務器設計的,而且還是爲可視開發環境設計的。它們包括icon、display-name和discription等。
可回憶一下,在web.xml內以適當地次序聲明web-app子元素很重要。不過,這裏只要記住icon、display-name和description是web.xml的web-app元素內的前三個合法元素即可。
l icon
icon元素指出GUI工具可用來代表Web應用的一個和兩個圖像文件。可利用small-icon元素指定一幅16 x 16的GIF或JPEG圖像,用large-icon元素指定一幅32 x 32的圖像。下面舉一個例子:
<icon>
<small-icon>/images/small-book.gif</small-icon>
<large-icon>/images/tome.jpg</large-icon>
</icon>
l display-name
display-name元素提供GUI工具可能會用來標記此Web應用的一個名稱。下面是個例子。
<display-name>Rare Books</display-name>
l description
description元素提供解釋性文本,如下所示:
<description>
This Web application represents the store developed for
rare-books.com, an online bookstore specializing in rare
and limited-edition books.
</description>
12 關聯文件與MIME類型
服務器一般都具有一種讓Web站點管理員將文件擴展名與媒體相關聯的方法。例如,將會自動給予名爲mom.jpg的文件一個image/jpeg的MIME類型。但是,假如你的Web應用具有幾個不尋常的文件,你希望保證它們在發送到客戶機時分配爲某種MIME類型。mime-mapping元素(具有extension和mime-type子元素)可提供這種保證。例如,下面的代碼指示服務器將application/x-fubar的MIME類型分配給所有以.foo結尾的文件。
<mime-mapping>
<extension>foo</extension>
<mime-type>application/x-fubar</mime-type>
</mime-mapping>
或許,你的Web應用希望重載(override)標準的映射。例如,下面的代碼將告訴服務器在發送到客戶機時指定.ps文件作爲純文本(text/plain)而不是作爲PostScript(application/postscript)。
<mime-mapping>
<extension>ps</extension>
<mime-type>application/postscript</mime-type>
</mime-mapping>
13 定位TLD
JSP taglib元素具有一個必要的uri屬性,它給出一個TLD(Tag Library Descriptor)文件相對於Web應用的根的位置。TLD文件的實際名稱在發佈新的標籤庫版本時可能會改變,但我們希望避免更改所有現有JSP頁面。此外,可能還希望使用保持taglib元素的簡練性的一個簡短的uri。這就是部署描述符文件的taglib元素派用場的所在了。Taglib包含兩個子元素:taglib-uri和taglib-location。taglib-uri元素應該與用於JSP taglib元素的uri屬性的東西相匹配。Taglib-location元素給出TLD文件的實際位置。例如,假如你將文件chart-tags-1.3beta.tld放在WebApp/WEB-INF/tlds中。現在,假如web.xml在web-app元素內包含下列內容。
<taglib>
<taglib-uri>/charts.tld</taglib-uri>
<taglib-location>
/WEB-INF/tlds/chart-tags-1.3beta.tld
</taglib-location>
</taglib>
給出這個說明後,JSP頁面可通過下面的簡化形式使用標籤庫。
<%@ taglib uri="/charts.tld" prefix="somePrefix" %>
14 指定應用事件監聽程序
應用事件監聽器程序是建立或修改servlet環境或會話對象時通知的類。它們是servlet規範的版本2.3中的新內容。這裏只簡單地說明用來向Web應用註冊一個監聽程序的web.xml的用法。
註冊一個監聽程序涉及在web.xml的web-app元素內放置一個listener元素。在listener元素內,listener-class元素列出監聽程序的完整的限定類名,如下所示:
<listener>
<listener-class>package.ListenerClass</listener-class>
</listener>
雖然listener元素的結構很簡單,但請不要忘記,必須正確地給出web-app元素內的子元素的次序。listener元素位於所有的servlet元素之前以及所有filter-mapping元素之後。此外,因爲應用生存期監聽程序是serlvet規範的2.3版本中的新內容,所以必須使用web.xml DTD的2.3版本,而不是2.2版本。
例如,程序清單5-20給出一個名爲ContextReporter的簡單的監聽程序,只要Web應用的Servlet-Context建立(如裝載Web應用)或消除(如服務器關閉)時,它就在標準輸出上顯示一條消息。程序清單5-21給出此監聽程序註冊所需要的web.xml文件的一部分。
程序清單5-20 ContextReporterjava
package moreservlets;
import javax.servlet.*;
import java.util.*;
/** Simple listener that prints a report on the standard output
* when the ServletContext is created or destroyed.
* <P>
* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/
public class ContextReporter implements ServletContextListener {
public void contextInitialized(ServletContextEvent event) {
System.out.println("Context created on " +
new Date() + ".");
}
public void contextDestroyed(ServletContextEvent event) {
System.out.println("Context destroyed on " +
new Date() + ".");
}
}
程序清單5-21 web.xml(聲明一個監聽程序的摘錄)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<!-- ... -->
<filter-mapping> … </filter-mapping>
<listener>
<listener-class>package.ListenerClass</listener-class>
</listener>
<servlet> ... </servlet>
<!-- ... -->
</web-app>
15 J2EE元素
本節描述用作J2EE環境組成部分的Web應用的web.xml元素。這裏將提供一個簡明的介紹,詳細內容可以參閱http://java.sun.com/j2ee/j2ee-1_3-fr-spec.pdf的Java 2 Plantform Enterprise Edition版本1.3規範的第5章。
l distributable
distributable元素指出,Web應用是以這樣的方式編程的:即,支持集羣的服務器可安全地在多個服務器上分佈Web應用。例如,一個可分佈的應用必須只使用Serializable對象作爲其HttpSession對象的屬性,而且必須避免用實例變量(字段)來實現持續性。distributable元素直接出現在discription元素之後,並且不包含子元素或數據,它只是一個如下的標誌。
<distributable />
l resource-env-ref
resource-env-ref元素聲明一個與某個資源有關的管理對象。此元素由一個可選的description元素、一個resource-env-ref-name元素(一個相對於java:comp/env環境的JNDI名)以及一個resource-env-type元素(指定資源類型的完全限定的類),如下所示:
<resource-env-ref>
<resource-env-ref-name>
jms/StockQueue
</resource-env-ref-name>
<resource-env-ref-type>
javax.jms.Queue
</resource-env-ref-type>
</resource-env-ref>
l env-entry
env-entry元素聲明Web應用的環境項。它由一個可選的description元素、一個env-entry-name元素(一個相對於java:comp/env環境JNDI名)、一個env-entry-value元素(項值)以及一個env-entry-type元素(java.lang程序包中一個類型的完全限定類名,java.lang.Boolean、java.lang.String等)組成。下面是一個例子:
<env-entry>
<env-entry-name>minAmout</env-entry-name>
<env-entry-value>100.00</env-entry-value>
<env-entry-type>minAmout</env-entry-type>
</env-entry>
l ejb-ref
ejb-ref元素聲明對一個EJB的主目錄的應用。它由一個可選的description元素、一個ejb-ref-name元素(相對於java:comp/env的EJB應用)、一個ejb-ref-type元素(bean的類型,Entity或Session)、一個home元素(bean的主目錄接口的完全限定名)、一個remote元素(bean的遠程接口的完全限定名)以及一個可選的ejb-link元素(當前bean鏈接的另一個bean的名稱)組成。
l ejb-local-ref
ejb-local-ref元素聲明一個EJB的本地主目錄的引用。除了用local-home代替home外,此元素具有與ejb-ref元素相同的屬性並以相同的方式使用。
|
