Tomcat中用web.xml控制Web应用详解(2)_Linux服务器维护_黑客防线网安服务器维护基地--Powered by WWW.RONGSEN.COM.CN

Tomcat中用web.xml控制Web应用详解(2)

作者:黑客防线网安linux教程网 来源:黑客防线网安linux教程网 浏览次数:0

本篇关键词:应用详解控制元素
黑客防线网安网讯:7 指定欢迎页 假如用户提供了一个像http://host/webArefix/directoryName/ 这样的包含一个目录名但没有包含文件名的URL,会发生什么事情呢?用户能得到一个目录表?一个错误?还是标准文件的...
7 指定欢迎页 假如用户提供了一个像http://host/webArefix/directoryName/ 这样的包含一个目录名但没有包含文件名的URL会发生什么事情呢?用户能得到一个目录表?一个错误?还是标准文件的内容?如果得到标准文件内容是index.html、index.j、default.html、default.htm或别的什么东西呢?
Welcome-file-list元素及其辅助的welcome-file元素解决了这个模糊的问题例如,下面的web.xml项指出,如果一个URL给出一个目录名但未给出文件名,服务器应该首先试用index.j,然后再试用index.html如果两者都没有找到,则结果有赖于所用的服务器(如一个目录列表)。
<welcome-file-list>
<welcome-file>index.jlt;/welcome-file>
<welcome-file>index.html</welcome-file>
</welcome-file-list>
虽然许多服务器缺省遵循这种行为,但不一定必须这样。因此,明确地使用welcom-file-list保证可移植性是一种良好的习惯。 8 指定处理错误的页面 现在我了解到,你在开发servlet和J页面时从不会犯错误,而且你的所有页面是那样的清晰,一般的程序员都不会被它们的搞糊涂。但是,是人总会犯错误的,用户可能会提供不合规定的参数,使用不正确的URL或者不能提供必需的表单字段值。除此之外,其它开发人员可能不那么细心,他们应该有些工具来克服自己的不足。
error-page元素就是用来克服这些问题的。它有两个可能的子元素,分别是:error-code和exception-type。第一个子元素error-code指出在给定的HTTP错误代码出现时使用的URL。第二个子元素excpetion-type指出在出现某个给定的Java异常但未捕捉到时使用的URL。error-code和exception-type都利用location元素指出相应的URL。此URL必须以/开始。location所指出的位置处的页面可通过查找HttervletRequest对象的两个专门的属性来访问关于错误的信息,这两个属性分别是:javax.servlet.error.status_code和javax.servlet.error.meage。
可回忆一下,在web.xml内以正确的次序声明web-a的子元素很重要。这里只要记住,error-page出现在web.xml文件的末尾附近,servlet、servlet-name和welcome-file-list之后即可。 8.1 error-code元素
为了更好地了解error-code元素的值,可考虑一下如果不正确地输入文件名,大多数站点会作出什么反映。这样做一般会出现一个404错误信息,它表示不能找到该文件,但几乎没提供更多有用的信息。另一方面,可以试一下在www.microsoft.com、www.ibm.com 处或者特别是在www.bea.com 处输出未知的文件名。这是会得出有用的消息,这些消息提供可选择的位置,以便查找感兴趣的页面。提供这样有用的错误页面对于Web应用来说是很有价值得。事实上,http://www.plinko.net/404/ 就是把整个站点专门用于404错误页面这个内容。这个站点包含来自全世界最好、最糟和最搞笑的404页面。
程序清单5-13给出一个J页面,此页面可返回给提供位置程序名的客户机。程序清单5-14给出指定程序清单5-13作为返回404错误代码时显示的页面的web.xml。请注意,浏览器中显示的URL仍然是客户机所提供的。错误页面是一种后台实现技术。
最后一点,请记住IE5的缺省配置显然不符合HTTP规范,它忽略了服务器生成的错误消息,而是显示自己的标准出错信息。可转到其Tools菜单,选择Internet Optio,单击Advanced,取消Show Friendly HTTP Error Meage来解决此问题。 程序清单5-13 NotFound.j
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Traitional//EN">
<HTML>
<HEAD>lt;TITLE>404: Not Found</TITLE>lt;/HEAD>
<ODY BGCOLOR="#FDF5E6">
<H2>Error!</H2>
I'm sorry, but I caot find a page that matches
<%= request.getRequestURI() %> on the system. Maybe you should
try one of the following:
<UL>
<LI>Go to the server's <A HREF="/">home page</A>.
<LI>earch for relevant pages.<R>
<FORM ACTION="http://www.google.com/search">
<CENTER>
Keywords: <IUT TYPE="TEXT" NAME="q">ltR>
<IUT TYPE="SUBMIT" VALUE="Search">
</CENTER>
</FORM>
<LI>Admire a random multiple of 404:
<%= 404*((int)(1000*Math.random())) %>.
<LI>Try a <A HREF="http://www.plinko.net/404/rndindex.a"
TARGET="_blank">
random 404 error meage</A>. From the amazing and
amusing plinko.net <A HREF="http://www.plinko.net/404/">
404 archive</A>.
</UL>
</BODY>lt;/HTML>
程序清单5-14 web.xml(指出HTTP错误代码的错误页面的摘录)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-a
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Alication 2.3//EN"
"http://java.sun.com/dtd/web-a_2_3.dtd"> <web-agt;
<error-page>
<error-code>404</error-code>
<locatiogt;/NotFound.jlt;/locatiogt;
</error-page>
<!-- ... -->
</web-agt;
8.2 exception-type元素
error-code元素处理某个请求产生一个特定的HTTP状态代码时的情况。然而,对于servlet或J页面返回200但产生运行时异常这种同样是常见的情况怎么办呢?这正是exception-type元素要处理的情况。只需提供两样东西即可:即提供如下的一个完全限定的异常类和一个位置:
<error-page>
<exception-type>ackageName.claame</exception-type>
<locatiogt;/SomeURL</locatiogt;
</error-page>
这样,如果Web应用中的任何servlet或J页面产生一个特定类型的未捕捉到的异常,则使用指定的URL。此异常类型可以是一个标准类型,如javax.ServletException或java.lang.OutOfMemoryError,或者是一个专门针对你的应用的异常。
例如,程序清单5-15给出了一个名为DumbDeveloperException的异常类,可用它来特别标记经验较少的程序员(不是说你的开发组中一定有这种人)所犯的错误。这个类还包含一个名为dangerousComputation的静态方法,它时不时地生成这种类型的异常。程序清单5-16给出对随机整数值调用dangerousCompution的一个J页面。在抛出此异常时,如程序清单5-18的web.xml版本中所给出的exception-type所指出的那样,对客户机显示DDE.j(程序清单5-17)。图5-16和图5-17分别给出幸运和不幸的结果。 程序清单5-15 DumbDeveloperException.java
package moreservlet /** Exception used to flag particularly onerous
programmer blunders. Used to illustrate the
exception-type web.xml element.
* <gt;
* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Pre,
* http://www.moreservlets.com/.
* &amcopy; 2002 Marty Hall; may be freely used or adapted.
*/ public cla DumbDeveloperException extends Exception {
public DumbDeveloperException() {
super("Duh. What was I *thinking*?");
} public static int dangerousComputation(int n)
throws DumbDeveloperException {
if (n < 5) {
return(n + 10);
} else {
throw(new DumbDeveloperException());
}
}
}
程序清单5-16 RiskyPage.j
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Traitional//EN">
<HTML>
<HEAD>lt;TITLE>Risky J Page</TITLE>lt;/HEAD>
<ODY BGCOLOR="#FDF5E6">
<H2>Risky Calculatiolt;/H2>
<%@ page import="moreservlets.*" %>
<% int n = ((int)(10 * Math.random())); %>
<UL>
<LI>: <%= n %>
<LI>dangerousComputation(n):
<%= DumbDeveloperException.dangerousComputation(n) %>
</UL>
</BODY>lt;/HTML>
程序清单5-17 DDE.j
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Traitional//EN">
<HTML>
<HEAD>lt;TITLE>Dumlt;/TITLE>lt;/HEAD>
<ODY BGCOLOR="#FDF5E6">
<H2>Dumb Developer</H2>
We're brain dead. Coider using our competitors.
</BODY>lt;/HTML>
程序清单5-18 web.xml(为异常指定错误页面的摘录)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-a
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Alication 2.3//EN"
"http://java.sun.com/dtd/web-a_2_3.dtd"> <web-agt;
<!-- ... -->
<ervlet> … </servlet>
<!-- ... -->
<error-page>
<exception-type>
moreservlets.DumbDeveloperException
</exception-type>
<locatiogt;/DDE.jlt;/locatiogt;
</error-page>
<!-- ... -->
</web-agt; 9 提供安全性 利用web.xml中的相关元素为服务器的内建功能提供安全性。
9.1 指定验证的方法
使用login-confgi元素规定服务器应该怎样验证试图访问受保护页面的用户。它包含三个可能的子元素,分别是:auth-method、realm-name和form-login-config。login-config元素应该出现在web.xml部署描述符文件的结尾附近,紧跟在security-cotraint元素之后。
l auth-method
login-config的这个子元素列出服务器将要使用的特定验证机制。有效值为BASIC、DIGEST、FORM和CLIENT-CERT。服务器只需要支持BASIC和FORM。
BASIC指出应该使用标准的HTTP验证,在此验证中服务器检查Authorization头。如果缺少这个头则返回一个401状态代码和一个WWW-Authenticate头。这导致客户机弹出一个用来填写Authorization头的对话框。此机制很少或不提供对攻击者的防范,这些攻击者在Internet连接上进行窥探(如通过在客户机的子网上执行一个信息包探测装置),因为用户名和口令是用简单的可逆base64编码发送的,他们很容易得手。所有兼容的服务器都需要支持BASIC验证。
DIGEST指出客户机应该利用加密Digest Authentication形式传输用户名和口令。这提供了比BASIC验证更高的防范网络截取得的安全性,但这种加密比L(HTT)所用的方法更容易破解。不过,此结论有时没有意义,因为当前很少有浏览器支持Digest Authentication,所以servlet容器不需要支持它。
FORM指出服务器应该检查保留的会话cookie并且把不具有它的用户重定向到一个指定的登陆页。此登陆页应该包含一个收集用户名和口令的常规HTML表单。在登陆之后,利用保留会话级的cookie跟踪用户。虽然很复杂,但FORM验证防范网络窥探并不比BASIC验证更安全,如果有必要可以在顶层安排诸如L或网络层安全(如IEC或V)等额外的保护。所有兼容的服务器都需要支持FORM验证。
CLIENT-CERT规定服务器必须使用HTT(L之上的HTTP)并利用用户的公开密钥证书(Pulic Key Certificat)对用户进行验证。这提供了防范网络截取的很强的安全性,但只有兼容J2EE的服务器需要支持它。
l realm-name
此元素只在auth-method为BASIC时使用。它指出浏览器在相应对话框标题使用的、并作为Authorization头组成部分的安全域的名称。
l form-login-config
此元素只在auth-method为FORM时适用。它指定两个页面,分别是:包含收集用户名及口令的HTML表单的页面(利用form-login-page子元素),用来指示验证失败的页面(利用form-error-page子元素)。由form-login-page给出的HTML表单必须具有一个j_security_check的ACTION属性、一个名为j_username的用户名文本字段以及一个名为j_paword的口令字段。
例如,程序清单5-19指示服务器使用基于表单的验证。Web应用的顶层目录中的一个名为login.j的页面将收集用户名和口令,并且失败的登陆将由相同目录中名为login-error.j的页面报告。 程序清单5-19 web.xml(说明login-config的摘录)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-a
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Alication 2.3//EN"
"http://java.sun.com/dtd/web-a_2_3.dtd"> <web-agt;
<!-- ... -->
<ecurity-cotraint> ... </security-cotraint>
<login-config>
<auth-method> FORM </auth-method>
<form-login-config>
<form-login-page>/login.jlt;/form-login-page>
<form-error-page>/login-error.jlt;/form-error-page>
</form-login-config>
</login-config>
<!-- ... -->
</web-agt;
9.2 限制对Web资源的访问
现在,可以指示服务器使用何种验证方法了。"了不起,"你说道,"除非我能指定一个来收到保护的URL,否则没有多大用处。"没错。指出这些URL并说明他们应该得到何种保护正是security-cotriaint元素的用途。此元素在web.xml中应该出现在login-config的紧前面。它包含是个可能的子元素,分别是:web-resource-collection、auth-cotraint、user-data-cotraint和dilay-name。下面各小节对它们进行介绍。
l web-resource-collection
此元素确定应该保护的资源。所有security-cotraint元素都必须包含至少一个web-resource-collection项。此元素由一个给出任意标识名称的web-resource-name元素、一个确定应该保护的URL的url-pattern元素、一个指出此保护所适用的HTTP命令(GET、POST等,缺省为所有方法)的http-method元素和一个提供资料的可选description元素组成。例如,下面的Web-resource-collection项(在security-cotratint元素内)指出Web应用的proprietary目录中所有文档应该受到保护。
<ecurity-cotraint>
<web-resource-coolectiogt;
<web-resource-name>roprietary</web-resource-name>
<url-pattergt;/propritary/*</url-pattergt;
</web-resource-coolectiogt;
<!-- ... -->
</security-cotraint>
重要的是应该注意到,url-pattern仅适用于直接访问这些资源的客户机。特别是,它不适合于通过MVC体系结构利用RequestDiatcher来访问的页面,或者不适合于利用类似j:forward的手段来访问的页面。这种不匀称如果利用得当的话很有好处。例如,servlet可利用MVC体系结构查找数据,把它放到bean中,发送请求到从bean中提取数据的J页面并显示它。我们希望保证决不直接访问受保护的J页面,而只是通过建立该页面将使用的bean的servlet来访问它。url-pattern和auth-contraint元素可通过声明不允许任何用户直接访问J页面来提供这种保证。但是,这种不匀称的行为可能让开发人员放松警惕,使他们偶然对应受保护的资源提供不受限制的访问。
l auth-cotraint
尽管web-resource-collention元素质出了哪些URL应该受到保护,但是auth-cotraint元素却指出哪些用户应该具有受保护资源的访问权。此元素应该包含一个或多个标识具有访问权限的用户类别role-name元素,以及包含(可选)一个描述角色的description元素。例如,下面web.xml中的security-cotraint元素部门规定只有指定为Administrator或Big Kahuna(或两者)的用户具有指定资源的访问权。
<ecurity-cotraint>
<web-resource-coolectiogt; ... </web-resource-coolectiogt;
<auth-cotraint>
<role-name>administrator</role-name>
<role-name>kahuna</role-name>
</auth-cotraint>
</security-cotraint>
重要的是认识到,到此为止,这个过程的可移植部分结束了。服务器怎样确定哪些用户处于任何角色以及它怎样存放用户的口令,完全有赖于具体的系统。
例如,Tomcat使用itall_dir/conf/tomcat-users.xml将用户名与角色名和口令相关联,正如下面例子中所示,它指出用户joe(口令bigshot)和jane(口令enaj)属于administrator和kahuna角色。
<tomcat-usergt;
<user name="joe" paword="bigshot" roles="administrator,kahuna" />
<user name="jane" paword="enaj" roles="kahuna" />
</tomcat-usergt;
l user-data-cotraint
这个可选的元素指出在访问相关资源时使用任何传输层保护。它必须包含一个traort-guarantee子元素(合法值为NONE、INTEGRAL或CONFIDENTIAL),并且可选地包含一个description元素。traort-guarantee为NONE值将对所用的通讯协议不加限制。INTEGRAL值表示数据必须以一种防止截取它的人阅读它的方式传送。虽然原理上(并且在未来的HTTP版本中),在INTEGRAL和CONFIDENTIAL之间可能会有差别,但在当前实践中,他们都只是简单地要求用L。例如,下面指示服务器只允许对相关资源做HTT连接:
<ecurity-cotraint>
<!-- ... -->
<user-data-cotraint>
<traort-guarantee>CONFIDENTIAL</traort-guarantee>
</user-data-cotraint>
</security-cotraint>
l dilay-name
security-cotraint的这个很少使用的子元素给予可能由GUI工具使用的安全约束项一个名称。
9.3 分配角色名
迄今为止,讨论已经集中到完全由容器(服务器)处理的安全问题之上了。但servlet以及J页面也能够处理它们自己的安全问题。
例如,容器可能允许用户从bigwig或bigcheese角色访问一个显示主管人员额外紧贴的页面,但只允许bigwig用户修改此页面的参数。完成这种更细致的控制的一种常见方法是调用HttervletRequset的isUserInRole方法,并据此修改访问。
Servlet的security-role-ref子元素提供出现在服务器专用口令文件中的安全角色名的一个别名。例如,假如编写了一个调用request.isUserInRole("bo")的servlet,但后来该servlet被用在了一个其口令文件调用角色manager而不是bo的服务器中。下面的程序段使该servlet能够使用这两个名称中的任何一个。
<ervlet>
<!-- ... -->
<ecurity-role-ref>
<role-name>olt;/role-name> <!-- New alias -->
<role-link>manager</role-link> <!-- Real name -->
</security-role-ref>
</servlet>
也可以在web-a内利用security-role元素提供将出现在role-name元素中的所有安全角色的一个全局列表。分别地生命角色使高级IDE容易处理安全信息。 10 控制会话超时 如果某个会话在一定的时间内未被访问,服务器可把它扔掉以节约内存。可利用Htteion的setMaxInactiveInterval方法直接设置个别会话对象的超时值。如果不采用这种方法,则缺省的超时值由具体的服务器决定。但可利用seion-config和seion-timeout元素来给出一个适用于所有服务器的明确的超时值。超时值的单位为分钟,因此,下面的例子设置缺省会话超时值为三个小时(180分钟)。
<eion-config>
<eion-timeout>180</seion-timeout>
</seion-config> 11 Web应用的文档化 越来越多的开发环境开始提供servlet和J的直接支持。例子有Borland Jbuilder Enterprise Edition、Macromedia UltraDev、Allaire JRun Studio(写此文时,已被Macromedia收购)以及IBM VisuaAge for Java等。
大量的web.xml元素不仅是为服务器设计的,而且还是为可视开发环境设计的。它们包括icon、dilay-name和discription等。
可回忆一下,在web.xml内以适当地次序声明web-a子元素很重要。不过,这里只要记住icon、dilay-name和description是web.xml的web-a元素内的前三个合法元素即可。
l icon
icon元素指出GUI工具可用来代表Web应用的一个和两个图像文件。可利用small-icon元素指定一幅16 x 16的GIF或JPEG图像,用large-icon元素指定一幅32 x 32的图像。下面举一个例子:
<icogt;
<mall-icogt;/images/small-book.gif</small-icogt;
<large-icogt;/images/tome.jpg</large-icogt;
</icogt;
l dilay-name
dilay-name元素提供GUI工具可能会用来标记此Web应用的一个名称。下面是个例子。
<dilay-name>Rare Booklt;/dilay-name>
l description
description元素提供解释性文本,如下所示:
<descriptiogt;
This Web alication represents the store developed for
rare-books.com, an online bookstore ecializing in rare
and limited-edition books.
</descriptiogt; 12 关联文件与MIME类型 服务器一般都具有一种让Web站点管理员将文件扩展名与媒体相关联的方法。例如,将会自动给予名为mom.jpg的文件一个image/jpeg的MIME类型。但是,假如你的Web应用具有几个不寻常的文件,你希望保证它们在发送到客户机时分配为某种MIME类型。mime-maing元素(具有exteion和mime-type子元素)可提供这种保证。例如,下面的代码指示服务器将alication/x-fubar的MIME类型分配给所有以.foo结尾的文件。
<mime-maing>
<exteiogt;foo</exteiogt;
<mime-type>alication/x-fubar</mime-type>
</mime-maing>
或许,你的Web应用希望重载(override)标准的映射。例如,下面的代码将告诉服务器在发送到客户机时指定.文件作为纯文本(text/plain)而不是作为PostScript(alication/postscript)。
<mime-maing>
<exteiogtlt;/exteiogt;
<mime-type>alication/postscript</mime-type>
</mime-maing>
13 定位TLD J taglib元素具有一个必要的uri属性,它给出一个TLD(Tag Library Descriptor)文件相对于Web应用的根的位置。TLD文件的实际名称在发布新的标签库版本时可能会改变,但我们希望避免更改所有现有J页面。此外,可能还希望使用保持taglib元素的简练性的一个简短的uri。这就是部署描述符文件的taglib元素派用场的所在了。Taglib包含两个子元素:taglib-uri和taglib-location。taglib-uri元素应该与用于J taglib元素的uri属性的东西相匹配。Taglib-location元素给出TLD文件的实际位置。例如,假如你将文件chart-tags-1.3beta.tld放在WebA/WEB-INF/tlds中。现在,假如web.xml在web-a元素内包含下列内容。
<tagligt;
<taglib-uri>/charts.tld</taglib-uri>
<taglib-locatiogt;
/WEB-INF/tlds/chart-tags-1.3beta.tld
</taglib-locatiogt;
</tagligt;
给出这个说明后,J页面可通过下面的简化形式使用标签库。
<%@ taglib uri="/charts.tld" prefix="somePrefix" %> 14 指定应用事件监听程序 应用事件监听器程序是建立或修改servlet环境或会话对象时通知的类。它们是servlet规范的版本2.3中的新内容。这里只简单地说明用来向Web应用注册一个监听程序的web.xml的用法。
注册一个监听程序涉及在web.xml的web-a元素内放置一个listener元素。在listener元素内,listener-cla元素列出监听程序的完整的限定类名,如下所示:
<listener>
<listener-clagtackage.ListenerClalt;/listener-clagt;
</listener>
虽然listener元素的结构很简单,但请不要忘记,必须正确地给出web-a元素内的子元素的次序。listener元素位于所有的servlet元素之前以及所有filter-maing元素之后。此外,因为应用生存期监听程序是serlvet规范的2.3版本中的新内容,所以必须使用web.xml DTD的2.3版本,而不是2.2版本。
例如,程序清单5-20给出一个名为ContextReporter的简单的监听程序,只要Web应用的Servlet-Context建立(如装载Web应用)或消除(如服务器关闭)时,它就在标准输出上显示一条消息。程序清单5-21给出此监听程序注册所需要的web.xml文件的一部分。 程序清单5-20 ContextReporterjava
package moreservlet import javax.servlet.*;
import java.util.*; /** Simple listener that prints a report on the standard output
* when the ServletContext is created or destroyed.
* <gt;
* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Pre,
* http://www.moreservlets.com/.
* &amcopy; 2002 Marty Hall; may be freely used or adapted.
*/ public cla ContextReporter implements ServletContextListener {
public void contextInitialized(ServletContextEvent event) {
System.out.println("Context created on " +
new Date() + ".");
} public void contextDestroyed(ServletContextEvent event) {
System.out.println("Context destroyed on " +
new Date() + ".");
}
}
程序清单5-21 web.xml(声明一个监听程序的摘录)
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-a
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Alication 2.3//EN"
"http://java.sun.com/dtd/web-a_2_3.dtd"> <web-agt;
<!-- ... -->
<filter-maing> … </filter-maing>
<listener>
<listener-clagtackage.ListenerClalt;/listener-clagt;
</listener>
<ervlet> ... </servlet>
<!-- ... -->
</web-agt;
15 J2EE元素 本节描述用作J2EE环境组成部分的Web应用的web.xml元素。这里将提供一个简明的介绍,详细内容可以参阅http://java.sun.com/j2ee/j2ee-1_3-fr-ec.pdf的Java 2 Plantform Enterprise Edition版本1.3规范的第5章。
l distributable
distributable元素指出,Web应用是以这样的方式编程的:即,支持集群的服务器可安全地在多个服务器上分布Web应用。例如,一个可分布的应用必须只使用Serializable对象作为其Htteion对象的属性,而且必须避免用实例变量(字段)来实现持续性。distributable元素直接出现在discription元素之后,并且不包含子元素或数据,它只是一个如下的标志。
<distributable />
l resource-env-ref
resource-env-ref元素声明一个与某个资源有关的管理对象。此元素由一个可选的description元素、一个resource-env-ref-name元素(一个相对于java:comp/env环境的JNDI名)以及一个resource-env-type元素(指定资源类型的完全限定的类),如下所示:
<resource-env-ref>
<resource-env-ref-name>
jms/StockQueue
</resource-env-ref-name>
<resource-env-ref-type>
javax.jms.Queue
</resource-env-ref-type>
</resource-env-ref>
l env-entry
env-entry元素声明Web应用的环境项。它由一个可选的description元素、一个env-entry-name元素(一个相对于java:comp/env环境JNDI名)、一个env-entry-value元素(项值)以及一个env-entry-type元素(java.lang程序包中一个类型的完全限定类名,java.lang.Boolean、java.lang.String等)组成。下面是一个例子:
<env-entry>
<env-entry-name>minAmout</env-entry-name>
<env-entry-value>100.00</env-entry-value>
<env-entry-type>minAmout</env-entry-type>
</env-entry>
l ejb-ref
ejb-ref元素声明对一个EJB的主目录的应用。它由一个可选的description元素、一个ejb-ref-name元素(相对于java:comp/env的EJB应用)、一个ejb-ref-type元素(bean的类型,Entity或Seion)、一个home元素(bean的主目录接口的完全限定名)、一个remote元素(bean的远程接口的完全限定名)以及一个可选的ejb-link元素(当前bean链接的另一个bean的名称)组成。
l ejb-local-ref
ejb-local-ref元素声明一个EJB的本地主目录的引用。除了用local-home代替home外,此元素具有与ejb-ref元素相同的属性并以相同的方式使用。
    黑客防线网安服务器维护方案本篇连接:http://www.rongsen.com.cn/show-19227-1.html
网站维护教程更新时间:2012-12-08 13:52:34  【打印此页】  【关闭
我要申请本站N点 | 黑客防线官网 |  
专业服务器维护及网站维护手工安全搭建环境,网站安全加固服务。黑客防线网安服务器维护基地招商进行中!QQ:29769479

footer  footer  footer  footer