中的类实例,创建。 ⼆ Load-on-startupLoad-on-startup 元素在web应⽤启动的时候指定了servlet被加载的顺序,它的值必须是⼀个整数。如果它的值是⼀个负整数或是这个元素不存在,那么容器会在该servlet被调⽤的时候,加载这个servlet 。如果值是正整数或零,容器在配置的时候就加载并初始化这个servlet,容器必须保证值⼩的先被加载。如果值相等,容器可以⾃动选择先加载谁。 在servlet的配置当中,5的含义是: 标记容器是否在启动的时候就加载这个servlet。
当值为0或者⼤于0时,表⽰容器在应⽤启动时就加载这个servlet; 当是⼀个负数时或者没有指定时,则指⽰容器在该servlet被选择时才加载。 正数的值越⼩,启动该servlet的优先级越⾼。 三 加载顺序
⾸先可以肯定的是,加载顺序与它们在 web.xml ⽂件中的先后顺序⽆关。即不会因为 filter 写在 listener 的前⾯⽽会先加载 filter。最终得出的结论是:ServletContext -> listener -> filter -> servlet
同时还存在着这样⼀种配置节:context-param,它⽤于向 ServletContext 提供键值对,即应⽤程序上下⽂信息。我们的 listener, filter等在初始化时会⽤到这些上下⽂中的信息,那么 context-param 配置节是不是应该写在 listener 配置节前呢?实际上 context-param 配置节可写在任意位置,因此真正的加载顺序为:context-param -> listener -> filter -> servlet
对于某类配置节⽽⾔,与它们出现的顺序是有关的。以 filter 为例,web.xml 中当然可以定义多个 filter,与 filter 相关的⼀个配置节是filter-mapping,这⾥⼀定要注意,对于拥有相同 filter-name 的 filter 和 filter-mapping 配置节⽽⾔,filter-mapping 必须出现在 filter 之后,否则当解析到 filter-mapping 时,它所对应的 filter-name 还未定义。web 容器启动时初始化每个 filter 时,是按照 filter 配置节出现的顺序来初始化的,当请求资源匹配多个 filter-mapping 时,filter 拦截资源是按照 filter-mapping 配置节出现的顺序来依次调⽤ doFilter() ⽅法的。 servlet 同 filter 类似,此处不再赘述。
由此,可以看出,web.xml 的加载顺序是:ServletContext -> context-param -> listener -> filter -> servlet ,⽽同个类型之间的实际程序调⽤的时候的顺序是根据对应的 mapping 的顺序进⾏调⽤的。
四 web.xml⽂件详解
我将⾃⼰知道的web.xml的元素整理了⼀下:web.xml⾸先是肯定要包含它的schema.
其它的元素都放在之中。 是对站台的描述
定义站台的名称 是指定该站台是否可分布式处理
⽤来设定web站台的环境参数,它包含两个⼦元素: ⽤来指定参数的名称 ⽤来设定参数值⽐如:
my_param
hello
在此设定的参数,可以在servlet中⽤ getServletContext().getInitParameter(\"my_param\") 来取得
是⽤来声明filter的相关设定,它包含以下⼦元素: 这当然就是指定filter的名字 这是⽤来定义filter的类的名称
⽤来定义参数,它有两个⼦元素: ⽤来指定参数的名称 ⽤来设定参数值
⽐如:setCharacterEncoding
com.myTest.setCharacterEncodingFilter encoding GB2312
与同时使⽤的是 ⽤来定义filter所对应的URL,它有两个⼦元素: 指定filter的名字
指定filter所对应的URL⽐如:
setCharacterEncoding /*
⽤来设定Listener接⼝,它的主要⼦元素为 定义Listener的类名称⽐如:com.myTest.ContextListener
⽤来声明⼀个servlet的数据,主要有以下⼦元素: 指定servlet的名称 指定servlet的类名称
指定web站台中的某个JSP⽹页的完整路径
⽤来定义参数,和前⾯的差不多同样,与⼀起使⽤的是 ⽤来定义servlet所对应的URL,包含两个⼦元素: 指定servlet的名称 指定servlet所对应的URL
⽐如:ShoppingServlet
com.myTest.ShoppingServlet
ShoppingServlet /shop/ShoppingServlet
⽤来定义web站台中的session参数,包含⼀个⼦元素:
⽤来定义这个web站台所有session的有效期限,单位为 分钟 定义某⼀个扩展名和某⼀个MIME Type做对映,包含两个 ⼦元素: 扩展名的名称
MIME格式
⽐如:
doc
application/vnd.ms-word
xls
application/vnd.ms-excel
⽤来定义⾸页的列单,包含⼀个⼦元素: 指定⾸页的⽂件名称⽐如:index.jsp index.html
⽤来处理错误代码或异常的页⾯,有三个⼦元素: 指定错误代码
指定⼀个JAVA异常类型 指定在web站台内的相关资源路径⽐如:
404 /error404.jsp
java.lang.Exception /exception.jsp
⽤来设定JSP⽹页所⽤到的Tag Library路径,有两个⼦元素:
定义TLD⽂件的URI,在JSP⽹页中⽤taglib指令便可取得该URI的 TLD 指定TLD⽂件相对于web站台的存放位置⽐如:myTaglib
/WEB-INF/tlds/MyTaglib.tld
定义利⽤JNDI取得站台可利⽤的资源,有五个⼦元素: 资源说明 资源名称 资源种类
资源经由Application或Container来许可
资源是否可以共享,有Shareable和Unshareable两个 值,默认为Shareable⽐如,配置数据库连接池就可在此配置:JNDI JDBC DataSource of shop jdbc/sample_db javax.sql.DataSource Container
包括 和 两个⼦元素。其中元素在JSP 1.2时就已经存在;⽽是JSP 2.0 新增的元素。⽂件 元素主要有⼋个⼦元素,它们分别为:1.:设定的说明; 2.:设定名称;3.:设定值所影响的范围,如:/CH2 或 /*.jsp; 4.:若为true,表⽰不⽀持EL 语法;5.:若为true,表⽰不⽀持<% scripting %>语法; 6.:设定JSP ⽹页的编码;7.:设置JSP ⽹页的抬头,扩展名为.jspf; 8.:设置JSP ⽹页的结尾,扩展名为.jspf。⼀个简单的元素完整配置: Taglib
/WEB-INF/tlds/MyTaglib.tld
Special property group for JSP Configuration JSP example. JSPConfiguration /jsp/* true
GB2312 true
/include/prelude.jspf /include/coda.jspf
配置web.xml来对某些servlet的请求
有时我们只希望通过认证的⽤户才能请求某些servlet的话,就可以在web.xml中来进⾏相应的配置,来达到此⽬的。
这就要⽤到元素。
对于tomcat,中web.xml使⽤security-constraint元素需要在位于/conf/tomcat-users.xml的XML⽂件中创建⽤户名和密码。⽐如下⾯的这个tomcat-users.xml⽂件:
此XML⽚段包括⼀个tomcat-users根元素,它包含⼀个或多个role和user元素。
然后在Web应⽤程序的web.xml中创建security-constraint、login-config和security-role元素。HelloServlet /HelloServlet GET POST
This applies only to the \"tomcat\" security role admin
NONE
BASIC
admin
其中security-constraint元素包含⼀个或多个web-resource-collection元素,它是描述Web应⽤程序中的哪些web资源受到指定安全的保护。http-method元素指定安全覆盖的HTTP⽅法。上⾯的例⼦中,当我们对/HelloServlet的GET或POST请求时将触发配置的安全机制。
auth-constraint元素⽤于描述允许访问Web组件的安全⾓⾊。此例中安全⾓⾊的例⼦有tomcat、manager、admin。⽽只有当作为admin⾓⾊的⽤户才可以访问HelloServlet。
Web应⽤程序通过login-config元素来认证⽤户,并确认该⽤户是否为正确的⾓⾊。
longin-config包含的transport-guarantee⼦元素⽤来指定认证⽅法,BASIC是⼀种常见的Web认证⽅式,浏览器给⽤户提⽰⼀个对话框,要求输⼊⽤户名和密码,随后Tomcat将给出的⽤户名和密码与tomcat-users.xml中的⽤户名和密码进⾏⽐较,然后使⽤前⾯的security-constraint配置来确定⽤户是否可访问受保护的servlet。
(除BASIC外,还可以是FORM、CLIENT-CERT、DIGEST等)
其实这种认证⽅法实际上有两个步骤:1、检查提供的⽤户名和密码是否正确。
2、判断⽤户是否映射到特定的安全⾓⾊。例如,⽤户可能提供了正确的⽤户名和密码,但没有映射到特定的安全⾓⾊,也将被禁⽌访问特定的Web资源。
其他说明:
web.xml ⽂件中⼀般包括 servlet, spring, filter, listenr的配置。那么他们是按照⼀个什么顺序加载呢?加载顺序会影响对spring bean 的调⽤。
⽐如filter 需要⽤到 bean ,但是加载顺序是 先加载filter 后加载spring,则filter中初始化操作中的bean为null;⾸先可以肯定 加载顺序与他们在web.xml ⽂件中的先后顺序⽆关。web.xml 中 listener 和 serverlet 的加载顺序为 先 listener 后serverlet最终得出结果:先 listener >> filter >> servlet >> spring
所以,如果过滤器中要使⽤到 bean,可以将spring 的加载 改成 Listener的⽅式org.springframework.web.context.ContextLoaderListener
搞定!
关于他们的内部执⾏顺序,也需要注意,如下⾯⽂章中遇到的问题web.xml的filter执⾏顺序导致的乱码,切记!2008-05-02 01:38
发现引起bug的原因是web.xml的下⾯⼏⾏: SecurityFilter *.do
CharacterEncoding *.do
CharacterEncoding
*.jsp
根据servlet2.3规范filter执⾏是按照web.xml配置的filter-mapping先后顺序进⾏执⾏,所以上⾯的配置会导致遇见*.do的url请求,先进⾏SecurityFilter的过滤器处理,这时候没有做编码处理,已经是乱码,到下⾯的filter处理时已经时乱码,再做编码处理已经没有⽤处。修正⽅式,调整filter-mapping顺序,如下: CharacterEncoding *.do
CharacterEncoding *.jsp
SecurityFilter *.do
