13.1. 再谈el（Expression Language）我们已经知道el是jsp-2.0规范的一部分，tomcat-5.x版本以上都已经能够支持jsp-2.0规范，但在更低版本的tomcat和webphere,weblogic中还是无法使用这一便捷方式。其实我们也可以选择在jsp中禁止使用el表达式，使用jsp指令（directive）可以对禁用某一个jsp中的el表达式。禁用之后的el表达式会以原样显示出来，如下图所示。为了对照，我们还在13-01下放了一个可以正常使用el表达式的例子，运行效果如下图显示。在13-01/index.jsp中禁用el表达式，是使用了isELIgnore="true"这样一条jsp指令（directive），请注意大小写。<%@ page isELIgnored="true" %><%pageContext.setAttribute("hello", "Hello World");%>${hello}还有一种批量禁用el的方法，我们可以在WEB-INF/web.xml中使用jsp-property-group标签批量禁用el，我们在13-02/WEB-INF/web.xml中进行如下配置。<?xml version="1.0" encoding="UTF-8"?><web-app xmlns="http://java.sun.com/xml/ns/j2ee"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"version="2.4"><jsp-config><jsp-property-group><url-pattern>*.jsp</url-pattern><el-ignored>true</el-ignored></jsp-property-group></jsp-config></web-app>这样就会禁用所有以.jsp后缀的请求中的el表达式，使用这种方式需要注意两点。jsp-property-group标签是jsp-2.0中新增功能，如果你使用低版本的web.xml（2.3或以下）就不能使用这个标签了。设置jsp-config会影响jsp生成servlet的过程，如果程序修改时已经有jsp转换成servlet并缓存在work目录下，那么修改后需要先清除缓存，才能看到效果。实际上还有第三种方法可以禁用掉所有jsp中的el表达式，那就是把web.xml定义为2.3版。<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE web-app PUBLIC"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN""http://java.sun.com/dtd/web-app_2_3.dtd"><web-app></web-app>这个就是13-03/WEB-INF/web.xml的定义，定义了web-app的版本号是2.3，这样一来所有的jsp都无法使用el表达式了，因为el表达式是2.4版才开始支持的功能。13.2. 作用域使用el的时候，默认会以一定顺序搜索四个作用域，将最先找到的变量值显示出来。如果我们有${username}这样一个正则表达式，它回去依次调用pageContext.getAttribute("username") -> request.getAttribute("username") -> session.getAttribute("username") -> application.getAttribute("username")，只要找到某一个不为空的值就立刻返回。这样的确方便我们的操作，但是随之也出现了另外一个问题，如果pageContext和request中有同名变量，但是我想取得request中的变量该如何是好呢？这就需要为el表达式引入作用域的概念了。${pageScope.username}${requestScope.username}我们可以直接访问13-04这个应用，看看el表达式支持的所有对象。下面我们分别对每个作用域对象进行讲解。表 13.1. el中的作用域el中的作用域对应关系pageContext当前页的pageContext对象pageScope把page作用域中的数据映射为一个map对象requestScope把request作用域中的数据映射为一个map对象sessionScope把session作用域中的数据映射为一个map对象applicationScope把application作用域中的数据映射为一个map对象param对应request.getParameter()paramValues对应request.getParameterValues()header对应request.getHeader()headerValues对应request.getHeaderValues()cookie对应request.getCookies()initParam对应ServletContext.getInitParamter() 例子中的${pageContext.request.contextPath}返回的是request.getContextPath()的值，在此例中就是/13-04，我们经常使用这个来拼接jsp中的绝对路径。这里的${pageContext.request.contextPath}是一种特殊用法，不能使用${request.contextPath}的形式替代。pageScope,requestScope, sessionScope,appliationScope都可以看作是Map型变量，调用其中的数据可以使用${pageScope.name}或${pageScope["name"]}的形式，这两种写法是等价的。在某些情况下只能使用${pageScope["content-type"]}，这里不能写成${pageScope.content-type}，jsp无法解析连字符（-）会出现错误。需要注意的是${paramValues.name}得到的是一个字符串数组，如果需要获得其中某个值，还需要使用${paramValues.name[0]}指定数组中的索引。这与下面的${headerValues.name}是相似的。${header.name}会取得http请求中的header参数，现实工作中很少用到这里的数据。例子中使用Host是指请求访问的主机地址，包括ip和端口号。而Referer比较有趣，如果用户通过超链接跳转过来的，Referer会保存上次访问页面的地址，我们就可以通过它来统计哪些用户是从哪里转来的了。${cookie.name}将获得对应cookie的对象，比如我们用jsp将一段cookie发送给客户端。Cookie cookie = new Cookie("username", "Username in cookie");response.addCookie(cookie);创建一个名称为username，值为"Username in cookie"的Cookie对象，然后发送给客户端。然后我们就可以使用${cookie.username}获得这个cookie了，${cookie.username.name}获得cookie名称，${cookie.username.value}获得cookie值。ServletContext.getInitParamter()指的应用的初始变量，这些变量都是定义在web.xml中的。<context-param><param-name>username</param-name><param-value>username with context param</param-value></context-param>${initParam.username}就会得到这里的变量值。以上都是死记硬背的东西，建议实际用到的时候翻看一下就好了，演示代码都放在13-04下，为了获得param和cookie还要点击一下最下边的连接才可以。13.3. 运算符el表达式中支持java中所有的操作符，并且还有一些扩展，下面我们简要做一下对照。表 13.2. 加减乘除四则运算符号说明+加-减*乘/或div除%或mod求余表 13.3. 比较运算符号说明==或eq相等（equals）!=或ne不相等（not equals）<或lt小于（less than）>或gt大于（greater than）<=或le小于等于（less than or equals）>=或ge大于等于（greater than or equals）表 13.4. 逻辑运算符号说明&&或and逻辑和||或or逻辑或!或not取反表 13.5. 特殊运算符号说明empty是否为null或空字符串? :三元运算符下面上所有运算符的显示结果，顺便说一下如果想在jsp中显示${name}而不让jsp把它当作el计算出来，可以写成${name}，这样最后显示的结果就是${name}了。

第 14 章 生命周期注意讲一下servlet的生命周期与运行时的线程模型，对了解servlet的运行原理有所帮助，这样才能避免一些有冲突的设计。如果你不满足以下任一条件，请继续阅读，否则请跳过此后的部分，进入下一章：第 15 章 分页。了解servlet的生命周期。了解servlet运行时的线程模型，及设计程序时需要注意的部分。14.1. 生命周期我们之前使用的都是javax.servlet.http.HttpServlet，这个类实现了javax.servlet.Servlet接口，而这个接口中定义的三个方法是所有servlet都必须实现的。package javax.servlet;public interface Servlet {void init(ServletConfig config);void service(ServletRequest request, ServletResponse response);void destroy();}如图所示，tomcat之类的服务器首先根据web.xml中的定义实例化servlet，然后调用它的init()方法进行初始化，init()方法的ServletConfig参数是服务器传递进servlet的，其中包含web.xml配置的初始化信息和ServletContext对象等共享内容。初始化后的servlet实例便进入等待请求的状态，当有与servlet-mapping匹配的请求进入时，服务器会调用servlet实例的service方法，传入ServletRequest与ServletResponse两个参数等待servlet处理完毕。注意一点，对于每个web应用，内存中只存在一个servlet实例，所有请求都是调用这个servlet实例，所以我们说servlet不是线程安全的，所有操作都要限制在service()方法中进行，不要在servlet中定义类变量。（doGet()和doPost()是HttpServlet覆盖service()方法后分支出来的辅助方法，实际上服务器调用的还是service()。）当web应用卸载时，服务器会调用每个已经初始化的servlet的destroy()，然后销毁这些servlet实例，如果你需要在servlet销毁时释放什么资源的话，可以写在destory()方法中。那么servlet是在什么时候进行初始化的呢？我们可以通过web.xml中的load-on-startup标签。<servlet><servlet-name>TestServlet</servlet-name><servlet-class>anni.TestServlet</servlet-class><load-on-startup>1</load-on-startup></servlet>load-on-startup的值是一个整数，当它大于等于零的时候服务器会在web发布的时候初始化servlet。当它小于零或者我们没有设置load-on-startup的时候，服务器会在用户第一次访问servlet的时候才去初始化servlet。或许你对load-on-startup为什么是一个整数存有疑问，为什么不是true和false呢？这是因为如果我们在web.xml中设置了多个servlet的时候，可以使用load-on-startup来指定servlet的加载顺序，服务器会根据load-on-startup的大小依次对servlet进行初始化。不过即使我们将load-on-startup设置重复也不会出现异常，服务器会自己决定初始化顺序。回头看看javax.servlet.Filter中也有init()和destroy()方法，它的声明周期与servlet基本一致，服务器使用init()对Filter初始化，销毁Filter的时候调用destroy()方法，只是过滤器就不在有load-on-startup设置了，它总是会在服务器启动的时候进行初始化，然后按照web.xml定义的顺序依次执行。14.2. 线程模型我们做一个试验，以此来证明某些编写servlet的方法是绝对错误的。第一步，我们打开浏览器，浏览14-02的index.jsp页面，输入“叮咚”。第二步，我们再打开一个14-02/index.jsp页面，输入“lingirl”。第三步，点击第一个页面的提交按钮，然后在10秒之内点击另一个页面的提交按钮，等两个页面都提交成功后，我们会看到如下页面。url上有乱码这个就是提交“叮咚”的页面，会惊讶吧？本来这时应该显示“叮咚”的。这个页面对应提交“lingirl”的页面，它似乎是显示正常的。到底是哪里出错了，为什么第一个页面提交了数据，却得到第二个页面提交的结果，首先让我们看一下TestServlet的代码。package anni;import java.io.IOException;import javax.servlet.ServletException;import javax.servlet.http.HttpServlet;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;public class TestServlet extends HttpServlet {private String username;public void doGet(HttpServletRequest request,HttpServletResponse response)throws ServletException, IOException {this.username = request.getParameter("username");try {Thread.sleep(10000);} catch(InterruptedException ex) {}response.getWriter().write(this.username);}}doGet()方法中从request中获得username参数，然后赋给this.username，这是一个类变量。然后暂停10秒，这10秒我们假设正在进行一些很费时间的计算，这样我们就有十秒钟去点两个页面的提交按钮了。最后将this.username写入response。你也许在想：“这没有问题啊，第一个页面提交了数据，等待10秒返回，第二个页面再提交数据，等待10秒返回，两者并不冲突啊。”可实际上在多线程模型中不会有这种队列让请求一个一个执行，所有请求都是蜂拥而至。在这个例子里，第一个请求过来将“叮咚”赋值给this.username后进行等待，10秒之内我们的第二个请求又调用了doGet()方法，并把this.username修改为“lingirl”，等到10秒后第一个请求结束等待后，获得的this.username已经是“lingirl”了。this.username这种写法在servlet中是绝对禁用的，如果有什么信息需要保存，可以考虑放到session或ServletContext中。14.3. 在jsp中定义类变量写在<%%>之间的代码，在转换成servlet之后都会service()方法内运行，所以我们不必担心出现上边this.username的问题。但是我们可以用<%!%>（注意多出来的感叹号）定义类变量或类方法，把上一个罪大恶极的servlet改造成jsp的话，就像这样。<%@ page contentType="text/html; charset=gb2312"%><%!String username;%><%this.username = request.getParameter("username");try {Thread.sleep(10000);} catch(InterruptedException ex) {}out.write(this.username);%>注意使用14-03下的例子可以测试jsp出错的效果，记得要在10秒之内点击两次。<%!%>似乎是一个巨大的陷阱，如果我们使用它定义类变量就一定会出现多线程错误。不过凡事都有正反两面，当我们需要在jsp中定义一个通用方法时，就需要借助<%!%>的力量了，假设我们需要一个方法，根据用户的性别显示不同的html内容，如果sex = 0就输出红色的“男”，如果sex = 1就输出绿色的“女”。为实现这个功能，我们可以定义一个sexRenderer()方法。14-04/index.jsp页面显示效果如下：index.jsp中的代码分两部分。第一部分定义sexRenderer()方法和<%!public String sexRenderer(int sex) {if (sex == 0) {return "<span color:red;'>男</span>";} else if (sex == 1) {return "<span color:green;'>女</span>";} else {return "";}}%>第二部分循环显示保存了性别信息的数组，显示的时候将会调用sexRenderer()方法。<%int[] people = {0, 1, 1, 0};for (int i = 0; i < this.people.length; i++) {%><tr><td><%=this.sexRenderer(this.people[i])%></td></tr><%}%>好的，现在我们知道可以在<%!%>中定义方法和变量了。但是同时也要了解的是<%!%>已经脱离了service()方法，这就导致不能在它里边使用request，response这些默认变量了，如果想要调用request只能写成void doSomething(HttpServletRequest request)的形式了，稍微注意一下即可。14.4. jsp九大默认对象分别是request, response, out, pageContext, session, application, page, config, exception。让我们看看它们与servlet中变量的对应关系。首先要明确的是，这九个变量都只在<%%>中有效，<%!%>中是无法调用这九个对象的。实际上<%%>最后会成为service()方法中的代码，我们这里就看看如何在service()方法中获得这些对象吧。requestpublic void service(ServletRequest req, ServletResponse res) {HttpServletRequest request = (HttpServletRequest) req;}jsp中的request就是service()中传入的req参数，因为service中定义的是ServletRequest类型，我们还需要转换成HttpServletRequest类型。responsepublic void service(ServletRequest req, ServletResponse res) {HttpServletResponse response = (HttpServletResponse) res;}与上例相同，response也是service()中传入的res参数。outWriter out = response.getWriter();out对应着从response中取出的writer对象，负责向响应中输出

1. 先解决响应中的乱码何为响应中的乱码？把页面中的“username”改成“用户名”你就知道了。所谓响应中的乱码，就是显示页面上的乱码，因为页面数据是从服务器一端放入响应（response）中，然后发送给浏览器，如果响应中的数据无法被正常解析，就会出现乱码问题。为什么英文就没有问题呢？因为在iso-8859-1，gb2312, utf-8以及任意一种编码格式下，英文编码格式都是一样的，每个字符占8位，而中文就麻烦了，在gb2312下一个中文占16位，两字节，而在utf-8下一个中文要占24位，三字节。浏览器在不知道确定编码方式的情况下，就会把这些字符从中间截断，再显示的时候就乱掉了。所以，想要解决乱码问题，就是要告诉浏览器我们到底使用了什么样的编码方式。为了获得正常显示的中文，需要注意以下几步：因为服务器要先从本地读取jsp文件，然后经过处理后写入响应，所以我们首先要知道的就是jsp文件的编码格式。从问题的源头着手解决。在咱们用的windowxp下，文件默认的编码格式是gb2312。我们要在http的响应（response）中添加编码信息，使用如下方式：<%@ page contentType="text/html; charset=gb2312"%>这段要放在jsp页面的第一行，用来指定响应的类型和编码格式，contentType为text/html就是html内容，charset表示编码为gb2312。这样浏览器就可以从响应中获得编码格式了。这种<%@ %>的形式叫做jsp指令（directive），现在接触到的是page指令。还需要在html中指定编码格式<head><meta http-equiv="Content-Type" content="text/html; charset=gb2312" /><title>title</title></head>meta部分用来指定当前html的编码格式，注意这一段要放在head标签中，并且放到head标签的最前面，如果不是最前面ie下可能会出现问题，尤其是在title中有中文的情况下。完成了以上三段检验，我们才能保证输出的jsp页面会正常显示中文。 2. POST乱码先把form里加上method="POST"，让form提交的时候使用POST方式。发送请求的时候，使用的编码是iso-8859-1，意味着只有英文是有效字符，这个限制是因为当初指定http标准的成员都来自英语国家，所以如果使用默认的方式从请求获取数据，中文一定会全部变成乱码。如果不信，你可以在刚才的例子里输入中文，然后提交：提交结果就会变成这样：怎么解决呢？我们要jsp最前面加上一条java语句，设置请求的字符编码。<%request.setCharacterEncoding("gb2312");%> 于是，那些乱码都正常了：  3. GET乱码警告GET情况下，使用URLEncode()的确可以解决乱码问题，该部分需要补充。直接点击超链接，form的默认提交方式都是GET。POST方式下的解决方式还算简单，因为POST方式下提交的数据都是以二进制的方式附加在http请求的body部分发送，只需要在后台指定编码格式就足矣解决。GET方式下会将参数直接附加到url后面，这部分参数无法使用request.setCharacterEncoding()处理，结果就是get形式的所有中文都变成了乱码。这时再也没有简便方法了，只能对这些中文一个一个进行转换，使用new String(bytes, "gb2312")进行转码。这时再也没有简便方法了，只能对这些中文一个一个进行转换，使用new String(bytes, "gb2312")进行转码。<% String username = request.getParameter("username"); byte[] bytes = username.getBytes("iso-8859-1"); String result = new String(bytes, "gb2312"); out.print(result); %>如我们所见，先从request中获得参数，接着把字符串按照iso-8859-1编码打散成byte数组，然后用gb2312编码组合成新字符串，最后打印出来就是正常的中文了。写在一起就变成了：<%=new String(new String(request.getParameter("username").getBytes("iso-8859-1"), "gb2312")%>这样做的缺点，是从请求中取得的所有中文都需要转码，非常烦琐。  这样解决中文乱码问题实在太繁琐，做一般的测试例子还可以，做大型项目时就会很麻烦，所以一般用过滤器解决。在spring框架下。例子1<!-- spring的字符过滤器 ,不是必须的，可以其他方式解决 --><filter><filter-name>CharacterEncodingFilter</filter-name><filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class><init-param><param-name>encoding</param-name><param-value>UTF-8</param-value></init-param><init-param><param-name>forceEncoding</param-name><param-value>true</param-value></init-param></filter><filter-mapping><filter-name>CharacterEncodingFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping>例子2 我们可以自定义一个过滤器来解决中文乱码问题1 import java.io.IOException;2 import javax.servlet.Filter;3 import javax.servlet.FilterChain;4 import javax.servlet.FilterConfig;5 import javax.servlet.ServletException;6 import javax.servlet.ServletRequest;7 import javax.servlet.ServletResponse;89 public class EncodingFilter implements Filter {1011 public void init(FilterConfig config) throws ServletException {}1213 public void destroy() {}1415 public void doFilter(ServletRequest request,16 ServletResponse response,17 FilterChain chain)18 throws IOException, ServletException {1920 request.setCharacterEncoding("gb2312");21 chain.doFilter(request, response);22 }2324 }View Code在此EncodingFilter实现了Filter接口，Filter接口中定义的三个方法都要在EncodingFilter中实现，其中doFilter()的代码实现主要的功能：为请求设置gb2312编码并执行chain.doFilter()继续下面的操作。与servlet相似，为了让filter发挥作用还需要在web.xml进行配置。<filter><filter-name>EncodingFilter</filter-name><filter-class>anni.EncodingFilter</filter-class></filter><filter-mapping><filter-name>EncodingFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping> filter标签部分定义使用的过滤器，filter-mapping标签告诉服务器把哪些请求交给过滤器处理。这里的/*表示所有请求，/表示根路径，*（星号）代表所有请求，加在一起就变成了根路径下的所有请求。这样，所有的请求都会先被EncodingFilter拦截，并在请求里设置上指定的gb2312编码。  

我们已经了解了filter的基本用法，还有一些细节配置在特殊情况下起作用。在servlet-2.3中，Filter会过滤一切请求，包括服务器内部使用forward转发请求和<%@ include file="/index.jsp"%>的情况。到了servlet-2.4中Filter默认下只拦截外部提交的请求，forward和include这些内部转发都不会被过滤，但是有时候我们需要forward的时候也用到Filter，这样就需要如下配置。<filter><filter-name>TestFilter</filtername><filter-class>anni.TestFilter</filter-class></filter><filter-mapping><filter-name>TestFilter</filtername><url-pattern>/*</url-pattern><dispatcher>REQUEST</dispatcher><dispatcher>FORWARD</dispatcher><dispatcher>INCLUDE</dispatcher><dispatcher>EXCEPTION</dispatcher></filter-mapping>这样TestFilter就会过滤所有状态下的请求。如果我们没有进行设置，默认使用的就是REQUEST。而EXCEPTION是在isErrorPage="true"的情况下出现的，这个用处不多，看一下即可。这里FORWARD是解决request.getDispatcher("index.jsp").forward(request, response);无法触发Filter的关键，配置上这个以后再进行forward的时候就可以触发过滤器了。Filter还有一个有趣的用法，在filter-mapping中我们可以直接指定servlet-mapping，让过滤器只处理一个定义在web.xml中的servlet。<filter-mapping><filter-name>TestFilter</filter-name><servlet-name>TestServlet</servlet-name></filter-mapping><servlet><servlet-name>TestServlet</servlet-name><servlet-class>anni.TestServlet</servlet-class></servlet><servlet-mapping><servlet-name>TestServlet</servlet-name><url-pattern>/TestServlet</url-pattern></servlet-mapping>直接指定servlet-name，TestFilter便会引用TestServlet配置的url-pattern，在某些filter与servlet绑定的情况下不失为一个好办法。

1. 使用HttpSessionListenerpublic class OnlineUserListener implements HttpSessionListener {public void sessionCreated(HttpSessionEvent event) {}public void sessionDestroyed(HttpSessionEvent event) {HttpSession session = event.getSession();ServletContext application = session.getServletContext();// 取得登录的用户名String username = (String) session.getAttribute("username");// 从在线列表中删除用户名List onlineUserList = (List) application.getAttribute("onlineUserList");onlineUserList.remove(username);System.out.println(username + "超时退出。");}}OnlineUserListener实现了HttpSessionListener定义的两个方法：sessionCreated()和sessionDestroyed()。这两个方法可以监听到当前应用中session的创建和销毁情况。我们这里只用到sessionDestroyed()在session销毁时进行操作就可以。从HttpSessionEvent中获得即将销毁的session，得到session中的用户名，并从在线列表中删除。最后一句向console打印一条信息，提示操作成功，这只是为了调试用，正常运行时删除即可。为了让监听器发挥作用，我们将它添加到web.xml中：<listener><listener-class>anni.OnlineUserListener</listener-class></listener>以下两种情况下就会发生sessionDestoryed（会话销毁）事件：1.执行session.invalidate()方法时。既然LogoutServlet.java中执行session.invalidate()时，会触发sessionDestory()从在线用户列表中清除当前用户，我们就不必在LogoutServlet.java中对在线列表进行操作了，所以LogoutServlet.java的内容现在是这样。public void doGet(HttpServletRequest request,HttpServletResponse response)throws ServletException, IOException {// 销毁sessionrequest.getSession().invalidate();// 成功response.sendRedirect("index.jsp");}2.如果用户长时间没有访问服务器，超过了会话最大超时时间，服务器就会自动销毁超时的session。会话超时时间可以在web.xml中进行设置，为了容易看到超时效果，我们将超时时间设置为最小值。<session-config><session-timeout>1</session-timeout></session-config>时间单位是一分钟，并且只能是整数，如果是零或负数，那么会话就永远不会超时。2. 使用HttpSessionBindingListenerHttpSessionBindingListener虽然叫做监听器，但使用方法与HttpSessionListener完全不同。我们实际看一下它是如何使用的。我们的OnlineUserBindingListener实现了HttpSessionBindingListener接口，接口中共定义了两个方法：valueBound()和valueUnbound()，分别对应数据绑定，和取消绑定两个事件。所谓对session进行数据绑定，就是调用session.setAttribute()把HttpSessionBindingListener保存进session中。我们在LoginServlet.java中进行这一步。// 把用户名放入在线列表session.setAttribute("onlineUserBindingListener", new OnlineUserBindingListener(username));这就是HttpSessionBindingListener和HttpSessionListener之间的最大区别：HttpSessionListener只需要设置到web.xml中就可以监听整个应用中的所有session。HttpSessionBindingListener必须实例化后放入某一个session中，才可以进行监听。从监听范围上比较，HttpSessionListener设置一次就可以监听所有session，HttpSessionBindingListener通常都是一对一的。正是这种区别成就了HttpSessionBindingListener的优势，我们可以让每个listener对应一个username，这样就不需要每次再去session中读取username，进一步可以将所有操作在线列表的代码都移入listener，更容易维护。valueBound()方法的代码如下：public void valueBound(HttpSessionBindingEvent event) {HttpSession session = event.getSession();ServletContext application = session.getServletContext();// 把用户名放入在线列表List onlineUserList = (List) application.getAttribute("onlineUserList");// 第一次使用前，需要初始化if (onlineUserList == null) {onlineUserList = new ArrayList();application.setAttribute("onlineUserList", onlineUserList);}onlineUserList.add(this.username);}username已经通过构造方法传递给listener，在数据绑定时，可以直接把它放入用户列表。与之对应的valueUnbound()方法，代码如下：public void valueUnbound(HttpSessionBindingEvent event) {HttpSession session = event.getSession();ServletContext application = session.getServletContext();// 从在线列表中删除用户名List onlineUserList = (List) application.getAttribute("onlineUserList");onlineUserList.remove(this.username);System.out.println(this.username + "退出。");}这里可以直接使用listener的username操作在线列表，不必再去担心session中是否存在username。valueUnbound的触发条件是以下三种情况：执行session.invalidate()时。session超时，自动销毁时。执行session.setAttribute("onlineUserBindingListener", "其他对象");或session.removeAttribute("onlineUserBindingListener");将listener从session中删除时。因此，只要不将listener从session中删除，就可以监听到session的销毁。 特别感谢http://www.mossle.com/docs/jsp/html/jsp-ch-08.html

进入首页，会显示一个彩色图形验证码，用户根据图片上的文字输入文本框。如果输入错误，会提示输入与图片文字不同，并更新验证码。输入正确会显示成功信息。彩色验证码用来防止恶意程序自动发送垃圾消息，或者是恶意程序循环尝试登录密码。人眼可以根据图片了解验证码的内容，但如果是程序就需要扫描图片分析图片中的内容，为了加大程序分析破解的难度，我们还为图片准备了干扰用的背景颜色，并随便修改文字的颜色。这些都是为了加大程序破解的难度。现在所有的注意力都集中到如何动态生成校验用的图片，看一下index.jsp中的代码。<img src="captcha.jpg" />大家可能感到奇怪了，这里img标签对应的是一个静态jpg图片，为什么每次刷新显示的图片内容都不同呢？仔细检查12-01目录下我们也看不到captcha.jpg这个图片，这个图片到底是从哪里得到的呢？在html里包含的图片，css样式表，js脚本，视频等等外部资源，都需要浏览器再次向服务器发起请求。现在我们进行的请求是一个名叫captcha.jpg的图片，而服务器上并没有这个图片，从web.xml里的配置可以看到如下配置。<servlet><servlet-name>CaptchaServlet</servlet-name><servlet-class>anni.CaptchaServlet</servlet-class></servlet><servlet-mapping><servlet-name>CaptchaServlet</servlet-name><url-pattern>/captcha.jpg</url-pattern></servlet-mapping>public void doGet(HttpServletRequest request, HttpServletResponse response)throws ServletException, IOException {//设置页面不缓存response.setHeader("Pragma", "No-cache");response.setHeader("Cache-Control", "no-cache");response.setDateHeader("Expires", 0);// 在内存中创建图象int width = 60, height = 20;BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);// 获取图形上下文Graphics g = image.getGraphics();//生成随机类Random random = new Random();// 设定背景色g.setColor(getRandColor(200, 250));g.fillRect(0, 0, width, height);//设定字体g.setFont(new Font("Times New Roman", Font.PLAIN, 18));//画边框//g.setColor(new Color());//g.drawRect(0, 0, width - 1, height - 1);// 随机产生155条干扰线，使图象中的认证码不易被其它程序探测到g.setColor(getRandColor(160, 200));for (int i = 0; i < 155; i++) {int x = random.nextInt(width);int y = random.nextInt(height);int xl = random.nextInt(12);int yl = random.nextInt(12);g.drawLine(x,y,x+xl,y+yl);}// 取随机产生的认证码(4位数字)String sRand = "";for (int i = 0;i < 4; i++) {String rand = String.valueOf(random.nextInt(10));sRand += rand;// 将认证码显示到图象中// 调用函数出来的颜色相同，可能是因为种子太接近，所以只能直接生成g.setColor(new Color(20 + random.nextInt(110), 20 + random.nextInt(110), 20 + random.nextInt(110)));g.drawString(rand, 13 * i + 6, 16);}// 将认证码存入SESSIONrequest.getSession().setAttribute("captcha", sRand);// 图象生效g.dispose();// 输出图象到页面ImageIO.write(image, "JPEG", response.getOutputStream());}代码最先设置response（响应）中的头部配置，告诉浏览器不要缓存对/captcha.jpg的请求结果，这样才能保证每次刷新页面都看到最新生成的图片，要是设置了缓存很可能每次看到的都是最先请求看到的图片。中间一大段代码实现动态生成图片的功能，我们先随机获得几个数字，然后写到BufferedImage中，最后就可以把图片数据写到response，因为图片是二进制数据，所以我们使用了response.getOutputStream()而不是response.getWriter()。为了达到验证的功能，每次生成图片之后要记得讲随机得到的数字保存到session中，session中的变量可以跨越多个请求周期存在，等用户输入验证码提交后就能与session中的数据做比较了，这些是在CheckServlet中实现的。、 public void doPost(HttpServletRequest request, HttpServletResponse response)throws ServletException, IOException {HttpSession session = request.getSession();String requestCaptcha = request.getParameter("captcha");String sessionCaptcha = (String) session.getAttribute("captcha");if (sessionCaptcha != null && sessionCaptcha.equals(requestCaptcha)) {session.removeAttribute("captcha");request.getRequestDispatcher("/success.jsp").forward(request, response);} else {request.setAttribute("message", "验证码输入错误");request.getRequestDispatcher("/index.jsp").forward(request, response);}} 

1. 生命周期我们之前使用的都是javax.servlet.http.HttpServlet，这个类实现了javax.servlet.Servlet接口，而这个接口中定义的三个方法是所有servlet都必须实现的。package javax.servlet;public interface Servlet {void init(ServletConfig config);void service(ServletRequest request, ServletResponse response);void destroy();}如图所示，tomcat之类的服务器首先根据web.xml中的定义实例化servlet，然后调用它的init()方法进行初始化，init()方法的ServletConfig参数是服务器传递进servlet的，其中包含web.xml配置的初始化信息和ServletContext对象等共享内容。初始化后的servlet实例便进入等待请求的状态，当有与servlet-mapping匹配的请求进入时，服务器会调用servlet实例的service方法，传入ServletRequest与ServletResponse两个参数等待servlet处理完毕。注意一点，对于每个web应用，内存中只存在一个servlet实例，所有请求都是调用这个servlet实例，所以我们说servlet不是线程安全的，所有操作都要限制在service()方法中进行，不要在servlet中定义类变量。（doGet()和doPost()是HttpServlet覆盖service()方法后分支出来的辅助方法，实际上服务器调用的还是service()。）当web应用卸载时，服务器会调用每个已经初始化的servlet的destroy()，然后销毁这些servlet实例，如果你需要在servlet销毁时释放什么资源的话，可以写在destory()方法中。那么servlet是在什么时候进行初始化的呢？我们可以通过web.xml中的load-on-startup标签。<servlet><servlet-name>TestServlet</servlet-name><servlet-class>anni.TestServlet</servlet-class><load-on-startup>1</load-on-startup></servlet>load-on-startup的值是一个整数，当它大于等于零的时候服务器会在web发布的时候初始化servlet。当它小于零或者我们没有设置load-on-startup的时候，服务器会在用户第一次访问servlet的时候才去初始化servlet。或许你对load-on-startup为什么是一个整数存有疑问，为什么不是true和false呢？这是因为如果我们在web.xml中设置了多个servlet的时候，可以使用load-on-startup来指定servlet的加载顺序，服务器会根据load-on-startup的大小依次对servlet进行初始化。不过即使我们将load-on-startup设置重复也不会出现异常，服务器会自己决定初始化顺序。回头看看javax.servlet.Filter中也有init()和destroy()方法，它的声明周期与servlet基本一致，服务器使用init()对Filter初始化，销毁Filter的时候调用destroy()方法，只是过滤器就不在有load-on-startup设置了，它总是会在服务器启动的时候进行初始化，然后按照web.xml定义的顺序依次执行。2. jsp九大默认对象 分别是request, response, out, pageContext, session, application, page, config, exception。 让我们看看它们与servlet中变量的对应关系。 首先要明确的是，这九个变量都只在<%%>中有效，<%!%>中是无法调用这九个对象的。实际上<%%>最后会成为service()方法中的代码，我们这里就看看如何在service()方法中获得这些对象吧。 requestpublic void service(ServletRequest req, ServletResponse res) {HttpServletRequest request = (HttpServletRequest) req;}jsp中的request就是service()中传入的req参数，因为service中定义的是ServletRequest类型，我们还需要转换成HttpServletRequest类型。responsepublic void service(ServletRequest req, ServletResponse res) {HttpServletResponse response = (HttpServletResponse) res;}与上例相同，response也是service()中传入的res参数。outWriter out = response.getWriter();out对应着从response中取出的writer对象，负责向响应中输出数据。不过jsp和servlet中的out还是有一点区别，虽然它们都实现了java.io.Writer接口，但servlet中实际类型是java.io.PrintWriter，而jsp中实际类型是javax.servlet.jsp.JspWriter。pageContext这是jsp独有的，servlet里没有page的概念。sessionHttpSession session = request.getSession();直接从request中获得会话。applicationServletConext application = getServletConfig().getServletContext();可以通过servletConfig获得ServletContext，这是整个web应用共享的一个对象。pageObject page = this;page就代表当前jsp对象，也可以直接使用this引用。configServletConfig config = getServletConfig();这是在servlet初始化时由服务器传入的对象，可以通过它获得web.xml中定义的初始化参数。exception想在jsp中使用这个对象需要满足一些条件了。首先我们要在14-05/index.jsp中故意抛出一个异常。<%@ page contentType="text/html; charset=gb2312" errorPage="error.jsp"%><%String str = null;str.length();%>str值是null，直接在null上调用length()方法会引发NullPointerException，然后我们可以看到页面第一行使用jsp指令（directive）设置了errorPage="error.jsp"，这样在出现异常的时候就会自动forward到error.jsp中。现在看看error.jsp中有些什么。<%@ page contentType="text/html; charset=gb2312" isErrorPage="true"%><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"><html><head><meta http-equiv="Content-Type" content="text/html; charset=gb2312" /><title>index</title></head><body><%=exception%></body></html>最主要的是在jsp指令（directive）中设置isErrorPage="true"，这样我们就可以在jsp中使用exception对象了，实际上这个异常是从request中取出来的。 到此为止，jsp九大默认对象已经讲解完毕，其中常用的还是四个作用域对应的对象，其他的了解即可。 

 参考链接：http://www.mossle.com/docs/jsp/html/jsp-ch-15.html