用web.xml控制Web应用的行为（5）

用web.xml控制Web应用的行为（5）

2008-06-23 15:28

8 指定处理错误的页面

现在我了解到，你在开发 servlet和JSP页面时从不会犯错误，而且你的所有页面是那样的清晰，一般的程序员都不会被它们的搞糊涂。但是，是人总会犯错误的，用户可能会提供 不合规定的参数，使用不正确的URL或者不能提供必需的表单字段值。除此之外，其它开发人员可能不那么细心，他们应该有些工具来克服自己的不足。 
error-page元素就是用来克服这些问题的。它有两个可能的子元素，分别是：error-code和exception-type。第一个子元素 error-code指出在给定的HTTP错误代码出现时使用的URL。第二个子元素excpetion-type指出在出现某个给定的Java异常但未 捕捉到时使用的URL。error-code和exception-type都利用location元素指出相应的URL。此URL必须以/开始。 location所指出的位置处的页面可通过查找HttpServletRequest对象的两个专门的属性来访问关于错误的信息，这两个属性分别是： javax.servlet.error.status_code和javax.servlet.error.message。 
可回忆一下，在web.xml内以正确的次序声明web-app的子元素很重要。这里只要记住，error-page出现在web.xml文件的末尾附 近，servlet、servlet-name和welcome-file-list之后即可。

8.1 error-code元素 
为了更好地了解error-code元素的值，可考虑一下如果不正确地输入文件名，大多数站点会作出什么反映。这样做一般会出现一个404错误信息，它表 示不能找到该文件，但几乎没提供更多有用的信息。另一方面，可以试一下在www.microsoft.com、www.ibm.com 处或者特别是在www.bea.com 处输出未知的文件名。这是会得出有用的消息，这些消息提供可选择的位置，以便查找感兴趣的页面。提供这样有用的错误页面对于Web应用来说是很有价值得。 事实上rm-error-page子元素）。由form-login-page给出的HTML表单必须具有一个j_security_check的 ACTION属性、一个名为j_username的用户名文本字段以及一个名为j_password的口令字段。 
例如，程序清单5-19指示服务器使用基于表单的验证。Web应用的顶层目录中的一个名为login.jsp的页面将收集用户名和口令，并且失败的登陆将由相同目录中名为login-error.jsp的页面报告。

程序清单5-19 web.xml（说明login-config的摘录） 
<?xml version="1.0" encoding="ISO-8859-1"?> 
<!DOCTYPE web-app 
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" 
"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app> 
<!-- ... --> 
<security-constraint> ... </security-constraint> 
<login-config> 
<auth-method> FORM </auth-method> 
<form-login-config> 
<form-login-page>/login.jsp</form-login-page> 
<form-error-page>/login-error.jsp</form-error-page> 
</form-login-config> 
</login-config> 
<!-- ... --> 
</web-app>

9.2 限制对Web资源的访问 
现在，可以指示服务器 使用何种验证方法了。"了不起，"你说道，"除非我能指定一个来收到保护的URL，否则没有多大用处。"没错。指出这些URL并说明他们应该得到何种保护 正是security-constriaint元素的用途。此元素在web.xml中应该出现在login-config的紧前面。它包含是个可能的子元 素，分别是：web-resource-collection、auth-constraint、user-data-constraint和 display-name。下面各小节对它们进行介绍。 
l web-resource-collection 
此元素确定应该保护的资源。所有security-constraint元素都必须包含至少一个web-resource-collection项。此元 素由一个给出任意标识名称的web-resource-name元素、一个确定应该保护的URL的url-pattern元素、一个指出此保护所适用的 HTTP命令（GET、POST等，缺省为所有方法）的http-method元素和一个提供资料的可选description元素组成。例如，下面的 Web-resource-collection项（在security-constratint元素内）指出Web应用的proprietary目录中 所有文档应该受到保护。 
<security-constraint> 
<web-resource-coolection> 
<web-resource-name>Proprietary</web-resource-name> 
<url-pattern>/propritary/*</url-pattern> 
</web-resource-coolection> 
<!-- ... --> 
</security-constraint> 
重要的是应该注意到，url-pattern仅适用于直接访问这些资源的客户机。特别是，它不适合于通过MVC体系结构利用 RequestDispatcher来访问的页面，或者不适合于利用类似jsp:forward的手段来访问的页面。这种不匀称如果利用得当的话很有好 处。例如，servlet可利用MVC体系结构查找数据，把它放到bean中，发送请求到从bean中提取数据的JSP 页面并显示它。我们希望保证决不直接访问受保护的JSP页面，而只是通过建立该页面将使用的bean的servlet来访问它。url-pattern和 auth-contraint元素可通过声明不允许任何用户直接访问JSP页面来提供这种保证。但是，这种不匀称的行为可能让开发人员放松警惕，使他们偶 然对应受保护的资源提供不受限制的访问。 
l auth-constraint 
尽管web-resource-collention元素质出了哪些URL应该受到保护，但是auth-constraint元素却指出哪些用户应该具有 受保护资源的访问权。此元素应该包含一个或多个标识具有访问权限的用户类别role-name元素，以及包含（可选）一个描述角色的 description元素。例如，下面web.xml中的security-constraint元素部门规定只有指定为Administrator或 Big Kahuna（或两者）的用户具有指定资源的访问权。 
<security-constraint> 
<web-resource-coolection> ... </web-resource-coolection> 
<auth-constraint> 
<role-name>administrator</role-name> 
<role-name>kahuna</role-name> 
</auth-constraint> 
</security-constraint> 
重要的是认识到，到此为止，这个过程的可移植部分结束了。服务器怎样确定哪些用户处于任何角色以及它怎样存放用户的口令，完全有赖于具体的系统。
例如，Tomcat使用install_dir/conf/tomcat-users.xml将用户名与角色名和口令相关联，正如下面例子中所示，它指出 用户joe（口令bigshot）和jane（口令enaj）属于administrator和kahuna角色。 
<tomcat-users> 
<user name="joe" password="bigshot" roles="administrator,kahuna" /> 
<user name="jane" password="enaj" roles="kahuna" /> 
</tomcat-users> 
l user-data-constraint 
这个可选的元素指出在访问相关资源时使用任何传输层保护。它必须包含一个transport-guarantee子元素（合法值为NONE、 INTEGRAL或CONFIDENTIAL），并且可选地包含一个description元素。transport-guarantee为NONE值将 对所用的通讯协议不加限制。INTEGRAL值表示数据必须以一种防止截取它的人阅读它的方式传送。虽然原理上（并且在未来的HTTP版本中），在INTEGRAL和CONFIDENTIAL之间可能会有差别，但在当前实践中，他们都只是简单地要求用SSL。例如，下面指示服务器只允许对相关资源做HTTPS连接： 
<security-constraint> 
<!-- ... --> 
<user-data-constraint> 
<transport-guarantee>CONFIDENTIAL</transport-guarantee> 
</user-data-constraint> 
</security-constraint> 
l display-name 
security-constraint的这个很少使用的子元素给予可能由GUI工具使用的安全约束项一个名称。 
9.3 分配角色名 
迄今为止，讨论已经集中到完全由容器（服务器）处理的安全问题之上了。但servlet以及JSP页面也能够处理它们自己的安全问题。 
例如，容器可能允许用户从bigwig或bigcheese角色访问一个显示主管人员额外紧贴的页面，但只允许bigwig用户修改此页面的参数。完成这 种更细致的控制的一种常见方法是调用HttpServletRequset的isUserInRole方法，并据此修改访问。 
Servlet的security-role-ref子元素提供出现在服务器专用口令文件中的安全角色名的一个别名。例如，假如编写了一个调用request.isUserInRole（"boss"）的servlet，但后来该servlet被用在了一个其口令文件调用角色manager而不是boss的服务器中。下面的程序段使该servlet能够使用这两个名称中的任何一个。 
<servlet> 
<!-- ... --> 
<security-role-ref> 
<role-name>boss</role-name> <!-- New alias --> 
<role-link>manager</role-link> <!-- Real name --> 
</security-role-ref> 
</servlet> 
也可以在web-app内利用security-role元素提供将出现在role-name元素中的所有安全角色的一个全局列表。分别地生命角色使高级IDE容易处理安全信息。

10 控制会话超时

如果某个会话在一定的时间内未被访问，服务器可把它扔掉以节约内存。可利用HttpSession的setMaxInactiveInterval方法直接设置个别会话对象的超时值。如果不采用这种方法，则缺省的超时值由具体的服务器决定。但可利用session-config和session-timeout元素来给出一个适用于所有服务器的明确的超时值。超时值的单位为分钟，因此，下面的例子设置缺省会话超时值为三个小时（180分钟）。 
<session-config> 
<session-timeout>180</session-timeout> 
</session-config>

11 Web应用的文档化

越 来越多的开发环境开始提供servlet和JSP的直接支持。例子有Borland Jbuilder Enterprise Edition、Macromedia UltraDev、Allaire JRun Studio（写此文时，已被Macromedia收购）以及IBM VisuaAge for Java等。 
大量的web.xml元素不仅是为服务器设计的，而且还是为可视开发环境设计的。它们包括icon、display-name和discription等。 
可回忆一下，在web.xml内以适当地次序声明web-app子元素很重要。不过，这里只要记住icon、display-name和description是web.xml的web-app元素内的前三个合法元素即可。 
l icon 
icon元素指出GUI工具可用来代表Web应用的一个和两个图像文件。可利用small-icon元素指定一幅16 x 16的GIF或JPEG图像，用large-icon元素指定一幅32 x 32的图像。下面举一个例子： 
<icon> 
<small-icon>/images/small-book.gif</small-icon> 
<large-icon>/images/tome.jpg</large-icon> 
</icon> 
l display-name 
display-name元素提供GUI工具可能会用来标记此Web应用的一个名称。下面是个例子。 
<display-name>Rare Books</display-name> 
l description 
description元素提供解释性文本，如下所示： 
<description> 
This Web application represents the store developed for 
rare-books.com, an online bookstore specializing in rare 
and limited-edition books. 
</description>