下面给出其它部分：
9.2 限制对web资源的访问
现在，可以指示服务器使用何种验证方法了。"了不起，"你说道，"除非我能指定一个来收到保护的url，否则没有多大用处。"没错。指出这些url并说明他们应该得到何种保护正是security-constriaint元素的用途。此元素在web.xml中应该出现在login-config的紧前面。它包含是个可能的子元素，分别是：web-resource-collection、auth-constraint、user-data-constraint和display-name。下面各小节对它们进行介绍。
l web-resource-collection
此元素确定应该保护的资源。所有security-constraint元素都必须包含至少一个web-resource-collection项。此元素由一个给出任意标识名称的web-resource-name元素、一个确定应该保护的url的url-pattern元素、一个指出此保护所适用的http命令（get、post等，缺省为所有方法）的http-method元素和一个提供资料的可选description元素组成。例如，下面的web-resource-collection项（在security-constratint元素内）指出web应用的proprietary目录中所有文档应该受到保护。
<security-constraint>
<web-resource-coolection>
<web-resource-name>proprietary</web-resource-name>
<url-pattern>/propritary/*</url-pattern>
</web-resource-coolection>
<!-- ... -->
</security-constraint>
重要的是应该注意到，url-pattern仅适用于直接访问这些资源的客户机。特别是，它不适合于通过mvc体系结构利用requestdispatcher来访问的页面，或者不适合于利用类似jsp:forward的手段来访问的页面。这种不匀称如果利用得当的话很有好处。例如，servlet可利用mvc体系结构查找数据，把它放到bean中，发送请求到从bean中提取数据的jsp页面并显示它。我们希望保证决不直接访问受保护的jsp页面，而只是通过建立该页面将使用的bean的servlet来访问它。url-pattern和auth-contraint元素可通过声明不允许任何用户直接访问jsp页面来提供这种保证。但是，这种不匀称的行为可能让开发人员放松警惕，使他们偶然对应受保护的资源提供不受限制的访问。 
l auth-constraint
尽管web-resource-collention元素质出了哪些url应该受到保护，但是auth-constraint元素却指出哪些用户应该具有受保护资源的访问权。此元素应该包含一个或多个标识具有访问权限的用户类别role-name元素，以及包含（可选）一个描述角色的description元素。例如，下面web.xml中的security-constraint元素部门规定只有指定为administrator或big kahuna（或两者）的用户具有指定资源的访问权。
<security-constraint>
<web-resource-coolection> ... </web-resource-coolection>
<auth-constraint>
<role-name>administrator</role-name>
<role-name>kahuna</role-name>
</auth-constraint>
</security-constraint>
重要的是认识到，到此为止，这个过程的可移植部分结束了。服务器怎样确定哪些用户处于任何角色以及它怎样存放用户的口令，完全有赖于具体的系统。
例如，tomcat使用install_dir/conf/tomcat-users.xml将用户名与角色名和口令相关联，正如下面例子中所示，它指出用户joe（口令bigshot）和jane（口令enaj）属于administrator和kahuna角色。
<tomcat-users>
<user name="joe" password="bigshot" roles="administrator,kahuna" />
<user name="jane" password="enaj" roles="kahuna" />
</tomcat-users>
l user-data-constraint
这个可选的元素指出在访问相关资源时使用任何传输层保护。它必须包含一个transport-guarantee子元素（合法值为none、integral或confidential），并且可选地包含一个description元素。transport-guarantee为none值将对所用的通讯协议不加限制。integral值表示数据必须以一种防止截取它的人阅读它的方式传送。虽然原理上（并且在未来的http版本中），在integral和confidential之间可能会有差别，但在当前实践中，他们都只是简单地要求用ssl。例如，下面指示服务器只允许对相关资源做https连接：
<security-constraint>
<!-- ... -->
<user-data-constraint>
<transport-guarantee>confidential</transport-guarantee>
</user-data-constraint>
</security-constraint>
l display-name
security-constraint的这个很少使用的子元素给予可能由gui工具使用的安全约束项一个名称。
9.3 分配角色名
迄今为止，讨论已经集中到完全由容器（服务器）处理的安全问题之上了。但servlet以及jsp页面也能够处理它们自己的安全问题。
例如，容器可能允许用户从bigwig或bigcheese角色访问一个显示主管人员额外紧贴的页面，但只允许bigwig用户修改此页面的参数。完成这种更细致的控制的一种常见方法是调用httpservletrequset的isuserinrole方法，并据此修改访问。
servlet的security-role-ref子元素提供出现在服务器专用口令文件中的安全角色名的一个别名。例如，假如编写了一个调用request.isuserinrole（"boss"）的servlet，但后来该servlet被用在了一个其口令文件调用角色manager而不是boss的服务器中。下面的程序段使该servlet能够使用这两个名称中的任何一个。
<servlet>
<!-- ... -->
<security-role-ref>
<role-name>boss</role-name> <!-- new alias -->
<role-link>manager</role-link> <!-- real name -->
</security-role-ref>
</servlet>
也可以在web-app内利用security-role元素提供将出现在role-name元素中的所有安全角色的一个全局列表。分别地生命角色使高级ide容易处理安全信息。

10 控制会话超时

如果某个会话在一定的时间内未被访问，服务器可把它扔掉以节约内存。可利用httpsession的setmaxinactiveinterval方法直接设置个别会话对象的超时值。如果不采用这种方法，则缺省的超时值由具体的服务器决定。但可利用session-config和session-timeout元素来给出一个适用于所有服务器的明确的超时值。超时值的单位为分钟，因此，下面的例子设置缺省会话超时值为三个小时（180分钟）。
<session-config>
<session-timeout>180</session-timeout>
</session-config>

11 web应用的文档化

越来越多的开发环境开始提供servlet和jsp的直接支持。例子有borland jbuilder enterprise edition、macromedia ultradev、allaire jrun studio（写此文时，已被macromedia收购）以及ibm visuaage for java等。
大量的web.xml元素不仅是为服务器设计的，而且还是为可视开发环境设计的。它们包括icon、display-name和discription等。
可回忆一下，在web.xml内以适当地次序声明web-app子元素很重要。不过，这里只要记住icon、display-name和description是web.xml的web-app元素内的前三个合法元素即可。
l icon
icon元素指出gui工具可用来代表web应用的一个和两个图像文件。可利用small-icon元素指定一幅16 x 16的gif或jpeg图像，用large-icon元素指定一幅32 x 32的图像。下面举一个例子： 
<icon>
<small-icon>/images/small-book.gif</small-icon>
<large-icon>/images/tome.jpg</large-icon>
</icon>
l display-name
display-name元素提供gui工具可能会用来标记此web应用的一个名称。下面是个例子。
<display-name>rare books</display-name>
l description
description元素提供解释性文本，如下所示：
<description>
this web application represents the store developed for
rare-books.com, an online bookstore specializing in rare
and limited-edition books.
</description>

12 关联文件与mime类型

服务器一般都具有一种让web站点管理员将文件扩展名与媒体相关联的方法。例如，将会自动给予名为mom.jpg的文件一个image/jpeg的mime类型。但是，假如你的web应用具有几个不寻常的文件，你希望保证它们在发送到客户机时分配为某种mime类型。mime-mapping元素（具有extension和mime-type子元素）可提供这种保证。例如，下面的代码指示服务器将application/x-fubar的mime类型分配给所有以.foo结尾的文件。
<mime-mapping>
<extension>foo</extension>
<mime-type>application/x-fubar</mime-type>
</mime-mapping>
或许，你的web应用希望重载（override）标准的映射。例如，下面的代码将告诉服务器在发送到客户机时指定.ps文件作为纯文本（text/plain）而不是作为postscript（application/postscript）。
<mime-mapping>
<extension>ps</extension>
<mime-type>application/postscript</mime-type>
</mime-mapping>

13 定位tld

jsp taglib元素具有一个必要的uri属性，它给出一个tld（tag library descriptor）文件相对于web应用的根的位置。tld文件的实际名称在发布新的标签库版本时可能会改变，但我们希望避免更改所有现有jsp页面。此外，可能还希望使用保持taglib元素的简练性的一个简短的uri。这就是部署描述符文件的taglib元素派用场的所在了。taglib包含两个子元素：taglib-uri和taglib-location。taglib-uri元素应该与用于jsp taglib元素的uri属性的东西相匹配。taglib-location元素给出tld文件的实际位置。例如，假如你将文件chart-tags-1.3beta.tld放在webapp/web-inf/tlds中。现在，假如web.xml在web-app元素内包含下列内容。
<taglib>
<taglib-uri>/charts.tld</taglib-uri>
<taglib-location>
/web-inf/tlds/chart-tags-1.3beta.tld
</taglib-location>
</taglib>
给出这个说明后，jsp页面可通过下面的简化形式使用标签库。
<%@ taglib uri="/charts.tld" prefix="someprefix" %>

14 指定应用事件监听程序

应用事件监听器程序是建立或修改servlet环境或会话对象时通知的类。它们是servlet规范的版本2.3中的新内容。这里只简单地说明用来向web应用注册一个监听程序的web.xml的用法。
注册一个监听程序涉及在web.xml的web-app元素内放置一个listener元素。在listener元素内，listener-class元素列出监听程序的完整的限定类名，如下所示：
<listener>
<listener-class>package.listenerclass</listener-class>
</listener>
虽然listener元素的结构很简单，但请不要忘记，必须正确地给出web-app元素内的子元素的次序。listener元素位于所有的servlet元素之前以及所有filter-mapping元素之后。此外，因为应用生存期监听程序是serlvet规范的2.3版本中的新内容，所以必须使用web.xml dtd的2.3版本，而不是2.2版本。
例如，程序清单5-20给出一个名为contextreporter的简单的监听程序，只要web应用的servlet-context建立（如装载web应用）或消除（如服务器关闭）时，它就在标准输出上显示一条消息。程序清单5-21给出此监听程序注册所需要的web.xml文件的一部分。

程序清单5-20 contextreporterjava
package moreservlets;

import javax.servlet.*;
import java.util.*;

/** simple listener that prints a report on the standard output 
* when the servletcontext is created or destroyed.
* <p>
* taken from more servlets and javaserver pages
* from prentice hall and sun microsystems press,
* http://www.moreservlets.com/.
* ? 2002 marty hall; may be freely used or adapted.
*/

public class contextreporter implements servletcontextlistener {
public void contextinitialized(servletcontextevent event) {
system.out.println("context created on " +
new date() + ".");
}

public void contextdestroyed(servletcontextevent event) {
system.out.println("context destroyed on " +
new date() + ".");
}
}

程序清单5-21 web.xml（声明一个监听程序的摘录）
<?xml version="1.0" encoding="iso-8859-1"?>
<!doctype web-app
public "-//sun microsystems, inc.//dtd web application 2.3//en"
"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>
<!-- ... -->
<filter-mapping> … </filter-mapping>
<listener>
<listener-class>package.listenerclass</listener-class>
</listener>
<servlet> ... </servlet>
<!-- ... -->
</web-app>

15 j2ee元素

本节描述用作j2ee环境组成部分的web应用的web.xml元素。这里将提供一个简明的介绍，详细内容可以参阅http://java.sun.com/j2ee/j2ee-1_3-fr-spec.pdf的java 2 plantform enterprise edition版本1.3规范的第5章。
l distributable
distributable元素指出，web应用是以这样的方式编程的：即，支持集群的服务器可安全地在多个服务器上分布web应用。例如，一个可分布的应用必须只使用serializable对象作为其httpsession对象的属性，而且必须避免用实例变量（字段）来实现持续性。distributable元素直接出现在discription元素之后，并且不包含子元素或数据，它只是一个如下的标志。
<distributable />
l resource-env-ref
resource-env-ref元素声明一个与某个资源有关的管理对象。此元素由一个可选的description元素、一个resource-env-ref-name元素（一个相对于java:comp/env环境的jndi名）以及一个resource-env-type元素（指定资源类型的完全限定的类），如下所示：
<resource-env-ref>
<resource-env-ref-name>
jms/stockqueue
</resource-env-ref-name>
<resource-env-ref-type>
javax.jms.queue
</resource-env-ref-type>
</resource-env-ref>
l env-entry
env-entry元素声明web应用的环境项。它由一个可选的description元素、一个env-entry-name元素（一个相对于java:comp/env环境jndi名）、一个env-entry-value元素（项值）以及一个env-entry-type元素（java.lang程序包中一个类型的完全限定类名，java.lang.boolean、java.lang.string等）组成。下面是一个例子：
<env-entry>
<env-entry-name>minamout</env-entry-name>
<env-entry-value>100.00</env-entry-value>
<env-entry-type>minamout</env-entry-type>
</env-entry>
l ejb-ref
ejb-ref元素声明对一个ejb的主目录的应用。它由一个可选的description元素、一个ejb-ref-name元素（相对于java:comp/env的ejb应用）、一个ejb-ref-type元素（bean的类型，entity或session）、一个home元素（bean的主目录接口的完全限定名）、一个remote元素（bean的远程接口的完全限定名）以及一个可选的ejb-link元素（当前bean链接的另一个bean的名称）组成。
l ejb-local-ref
ejb-local-ref元素声明一个ejb的本地主目录的引用。除了用local-home代替home外，此元素具有与ejb-ref元素相同的属性并以相同的方式使用。