用webxml控制Web应用的行为.pdfVIP

web_xml Web 用web_xml控制Web应用的行为 wweebb__xxmmll WWeebb 用web_xml控制Web应用的行为 下面给出其它部分： 9.2 限制对Web资源的访问 现在，可以指示服务器使用何种验证方法了。“了不起，”你说道，“除非我能指定一 个来收到保护的URL，否则没有多大用处。”没错。指出这些URL并说明他们应该得到何种保 护正是security-constriaint元素的用途。此元素在web.xml中应该出现在login-config的 紧前面。它包含是个可能的子元素，分别是：web-resource-collection、auth-constraint、 user-data-constraint和display-name。下面各小节对它们进行介绍。 l web-resource-collection 此元素确定应该保护的资源。所有security-constraint元素都必须包含至少一个 web-resource-collection项。此元素由一个给出任意标识名称的web-resource-name元素、 一个确定应该保护的URL的url-pattern元素、一个指出此保护所适用的HTTP命令（GET、POST 等，缺省为所有方法）的http-method元素和一个提供资料的可选description元素组成。例 如，下面的Web-resource-collection项（在security-constratint元素内）指出Web应用的 proprietary目录中所有文档应该受到保护。 security-constraint web-resource-coolection web-resource-nameProprietary/web-resource-name url-pattern/propritary/*/url-pattern /web-resource-coolection !-- … -- /security-constraint 重要的是应该注意到，url-pattern仅适用于直接访问这些资源的客户机。特别是，它 不适合于通过MVC体系结构利用RequestDispatcher来访问的页面，或者不适合于利用类似 jsp:forward的手段来访问的页面。这种不匀称如果利用得当的话很有好处。例如，servlet 可利用MVC体系结构查找数据，把它放到bean中，发送请求到从bean中提取数据的JSP页面并 显示它。我们希望保证决不直接访问受保护的JSP页面，而只是通过建立该页面将使用的bean 的servlet来访问它。url-pattern和auth-contraint元素可通过声明不允许任何用户直接访 问JSP页面来提供这种保证。但是，这种不匀称的行为可能让开发人员放松警惕，使他们偶 然对应受保护的资源提供不受限制的访问。 l auth-constraint 尽 管 web-resource-collention 元 素 质 出 了 哪 些 URL 应 该 受 到 保 护 ， 但 是 auth-constraint元素却指出哪些用户应该具有受保护资源的访问权。此元素应该包含一个 或多个标识具有访问权限的用户类别role-name元素，以及包含（可选）一个描述角色的 description元素。例如，下面web.xml中的security-constraint元素部门规定只有指定为 Administrator或Big Kahuna（或两者）的用户具有指定资源的访问权。 security-constraint web-resource-coolection … /web-resource-coolection auth-constraint role-nameadministrator/role-name role-namekahuna/role-name /auth-constraint /security-constraint 重要的是认识到，到此为止，这个过程的可移植部分结束了。服务器怎样确定哪些用户 处于任何角色以及它怎样存放用户的口令，完全有赖于具体的系统。 例如，Tomcat使用install_dir/conf/tomcat-us