文章分類(2)

文章檔案(7)

搜索

最新評論

第三章為servlet命名

注冊servlet/映射servlet
web.xml中

<servlet>
    <servlet-name>HelloWorldServlet</servlet-name>   //注冊
    <servlet-class>testservlet.HelloWorldServlet</servlet-class>
</servlet>
</servlet-mapping><servlet-mapping>                  //映射
    <servlet-name>HelloWorldServlet</servlet-name>
    <url-pattern>/helloworld</url-pattern>
</servlet-mapping>
</servlet-mapping><servlet-mapping>                 //多個映射
    <servlet-name>HelloWorldServlet</servlet-name>
    <url-pattern>/hd</url-pattern>
</servlet-mapping>

可以通過 http://host:port/context path/servlet/registered-servlet-name (貌似這種沒調試出來，汗。。。)
使用通配符 *
<url-pattern>/login/*</url-pattern> //url地址后的login都將用這個servlet來請求
<url-pattern>/*</url-pattern> //所以非servlet的頁面和其他路徑都將用這個servlet來請求，如果有這樣的servlet，將被優先。
<url-pattern>/servlet/*</url-pattern> //用來匹配 http://host:port/context path/servlet/registered-servlet-name 訪問servlet模式

甚至可以 <url-pattern>*.jsp</url-pattern> <url-pattern>*.html</url-pattern> 這叫擴展映射
在servlet中轉發請求
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // TODO Auto-generated method stub
        PrintWriter out = response.getWriter();
        out.println("Login ...");
        RequestDispatcher dispather = null;
        String param = request.getParameter("go");
        if(param == null ){
            throw new ServletException("Missing parameter!"); //不知道這些異常在何處捕獲
        }else if(param.equals("h")){
            dispather = request.getRequestDispatcher("/helloworld"); //定義將要轉發位置
              //或者 dispather = getServletContext().getNamedDispatcher(“注冊的類名”);
        }else{
            throw new ServletException("wrong parameter");
        }
        if(dispather != null){
            dispather.forward(request,response); //進行轉發
        }else{
            throw new ServletException("dispather = null!");
        }
    }
為web應用程序創建歡迎文件

在web.xml中配置
<welcome-file-list>
<welcome-file>index.html</welcome-file>
<welcome-file>default.jsp</welcome-file>
</welcome-file-list>

限制對某些servlet的請求
有時我們只希望通過認證的用戶才能請求某些servlet的話，就可以在web.xml中來進行相應的配置，來達到此目的。
這就要用到<security-constraint></security-constraint>元素。
對于tomcat，中web.xml使用security-constraint元素需要在位于<Tomcat-installation-directory>/conf/tomcat-users.xml的XML文件中創建用戶名和密碼。比如下面的這個tomcat-users.xml文件：
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
<role rolename="tomcat"/>
<role rolename="manager"/>
<role rolename="admin"/>
<user username="tomcat" password="tomcat" roles="tomcat"/>
<user username="both" password="tomcat" roles="tomcat,manager"/>
<user username="admin" password="admin" roles="admin"/>
</tomcat-users>
此XML片段包括一個tomcat-users根元素，它包含一個或多個role和user元素。

然后在Web應用程序的web.xml中創建security-constraint、login-config和security-role元素。

<security-constraint>
      <web-resource-collection>
          <web-resource-name>HelloServlet</web-resource-name>
          <url-pattern>/HelloServlet</url-pattern>
          <http-method>GET</http-method>
          <http-method>POST</http-method>
      </web-resource-collection>
      <auth-constraint>
          <description>This applies only to the "tomcat" security role</description>
          <role-name>admin</role-name>
      </auth-constraint>
      <user-data-constraint>
          <transport-guarantee>NONE</transport-guarantee>
      </user-data-constraint>
</security-constraint>

<login-config>
      <auth-method>BASIC</auth-method>
</login-config>
<security-role>
      <role-name>admin</role-name>
</security-role>

其中security-constraint元素包含一個或多個web-resource-collection元素，它是描述Web應用程序中的哪些web資源受到指定安全限制的保護。http-method元素指定安全限制覆蓋的HTTP方法。上面的例子中，當我們對/HelloServlet的GET或POST請求時將觸發配置的安全機制。
auth-constraint元素用于描述允許訪問Web組件的安全角色。此例中安全角色的例子有tomcat、manager、admin。而只有當作為admin角色的用戶才可以訪問HelloServlet。

Web應用程序通過login-config元素來認證用戶，并確認該用戶是否為正確的角色。
longin-config包含的transport-guarantee子元素用來指定認證方法，BASIC是一種常見的Web認證方式，瀏覽器給用戶提示一個對話框，要求輸入用戶名和密碼，隨后Tomcat將給出的用戶名和密碼與tomcat-users.xml中的用戶名和密碼進行比較，然后使用前面的security-constraint配置來確定用戶是否可訪問受保護的servlet。

（除BASIC外，還可以是FORM、CLIENT-CERT、DIGEST等）

其實這種認證方法實際上有兩個步驟：
1、檢查提供的用戶名和密碼是否正確。
2、判斷用戶是否映射到特定的安全角色。例如，用戶可能提供了正確的用戶名和密碼，但沒有映射到特定的安全角色，也將被禁止訪問特定的Web資源。

posted on 2006-12-08 11:48 googlor 閱讀(529) 評論(0) 編輯收藏

新用戶注冊刷新評論列表


只有注冊用戶登錄后才能發表評論。




網站導航: 博客園 IT新聞 Chat2DB C++博客博問管理