Servlet 3.0 and Tomcat 7.x新特性

Servlet3.0 作为Java EE6规范体系中一员，随着Java EE6规范一起发布。本文将结合代码实例介绍Servlet 3.0的新特性。

异步处理支持：有了该特性，Servlet线程不再需要一直阻塞，直到业务处理完毕才能再输出响应，最后才结束该Servlet线程。在接收到请求之后，Servlet线程可以将耗时的操作委派给另一个线程来完成，自己在不生成响应的情况下返回至容器。针对业务处理较耗时的情况，这将大大减少服务器资源的占用，并且提高并发处理速度。

新增的注解支持：该版本新增了若干注解，用于简化Servlet、过滤器（Filter）和监听器（Listener）的声明，这使得web.xml部署描述文件从该版本开始不再是必选的了。可插性支持：熟悉Struts2的开发者一定会对其通过插件的方式与包括Spring在内的各种常用框架的整合特性记忆犹新。

将相应的插件封装成JAR包并放在类路径下，Struts2运行时便能自动加载这些插件。现在Servlet 3.0提供了类似的特性，开发者可以通过插件的方式很方便的扩充已有Web应用的功能，而不需要修改原有的应用。下面我们将逐一讲解这些新特性，通过下面的学习，读者将能够明晰了解Servlet 3.0的变化，并能够顺利使用它进行日常的开发工作。

异步处理支持

Servlet 3.0之前，一个普通Servlet的主要工作流程大致如下：首先，Servlet接收到请求之后，可能需要对请求携带的数据进行一些预处理；接着，调用业务接口的某些方法，以完成业务处理；最后，根据处理的结果提交响应，Servlet线程结束。

其中第二步的业务处理通常是最耗时的，这主要体现在数据库操作，以及其它的跨网络调用等，在此过程中，Servlet线程一直处于阻塞状态，直到业务方法执行完毕。在处理业务的过程中，Servlet资源一直被占用而得不到释放，对于并发较大的应用，这有可能造成性能的瓶颈。对此，在以前通常是采用私有解决方案来提前结束Servlet线程，并及时释放资源。

Servlet 3.0针对这个问题做了开创性的工作，现在通过使用Servlet 3.0的异步处理支持，之前的Servlet处理流程可以调整为如下的过程：首先，Servlet接收到请求之后，可能首先需要对请求携带的数据进行一些预处理；接着，Servlet线程将请求转交给一个异步线程来执行业务处理，线程本身返回至容器，此时Servlet还没有生成响应数据，异步线程处理完业务以后，可以直接生成响应数据（异步线程拥有ServletRequest和ServletResponse对象的引用），或者将请求继续转发给其它Servlet。如此一来，Servlet线程不再是一直处于阻塞状态以等待业务逻辑的处理，而是启动异步线程之后可以立即返回。

异步处理特性可以应用于Servlet和过滤器两种组件，由于异步处理的工作模式和普通工作模式在实现上有着本质的区别，因此默认情况下，Servlet和过滤器并没有开启异步处理特性，如果希望使用该特性，则必须按照如下的方式启用：

对于使用传统的部署描述文件(web.xml)配置Servlet和过滤器的情况，Servlet 3.0为<servlet>和<filter>标签增加了<async-supported>子标签，该标签的默认取值为false，要启用异步处理支持，则将其设为true即可。以Servlet为例，其配置方式如下所示：

<servlet>
<servlet-name>DemoServlet</servlet-name>
<servlet-class>footmark.servlet.DemoServlet</servlet-class>
<async-supported>true</async-supported>
</servlet>
对于使用Servlet 3.0提供的@WebServlet和@WebFilter进行Servlet或过滤器配置的情况，这两个注解都提供了asyncSupported属性，默认该属性的取值为false，要启用异步处理支持，只需将该属性设置为true即可。以@WebFilter为例，其配置方式如下所示：

@WebFilter(urlPatterns="/demo",asyncSupported=true) 
publicclassDemoFilterimplementsFilter{…}
一个简单的模拟异步处理的Servlet示例如下：

@WebServlet(urlPatterns="/demo",asyncSupported=true) 
publicclassAsyncDemoServletextendsHttpServlet{ 
@Override 
publicvoiddoGet(HttpServletRequestreq,HttpServletResponseresp) 
throwsIOException,ServletException{ 
resp.setContentType("text/html;charset=UTF-8"); 
PrintWriterout=resp.getWriter(); 
out.println("进入Servlet的时间："+newDate()+"."); 
out.flush(); 

//在子线程中执行业务调用，并由其负责输出响应，主线程退出 
AsyncContextctx=req.startAsync(); 
newThread(newExecutor(ctx)).start(); 
out.println("结束Servlet的时间："+newDate()+"."); 
out.flush(); 
} 
}
publicclassExecutorimplementsRunnable{ 
privateAsyncContextctx=null; 
publicExecutor(AsyncContextctx){ 
this.ctx=ctx; 
} 

publicvoidrun(){ 
try{ 
//等待十秒钟，以模拟业务方法的执行 
Thread.sleep(10000); 
PrintWriterout=ctx.getResponse().getWriter(); 
out.println("业务处理完毕的时间："+newDate()+"."); 
out.flush(); 
ctx.complete(); 
}catch(Exceptione){ 
e.printStackTrace(); 
} 
} 
}
除此之外，Servlet 3.0还为异步处理提供了一个监听器，使用AsyncListener接口表示。它可以监控如下四种事件：

1.异步线程开始时，调用AsyncListener的onStartAsync(AsyncEventevent)方法；

2.异步线程出错时，调用AsyncListener的onError(AsyncEventevent)方法；

3.异步线程执行超时，则调用AsyncListener的onTimeout(AsyncEventevent)方法；

4.异步执行完毕时，调用AsyncListener的onComplete(AsyncEventevent)方法；

要注册一个AsyncListener，只需将准备好的AsyncListener对象传递给AsyncContext对象的addListener()方法即可，如下所示：

AsyncContextctx=req.startAsync(); 
ctx.addListener(newAsyncListener(){ 
publicvoidonComplete(AsyncEventasyncEvent)throwsIOException{ 
//做一些清理工作或者其他 
} 
… 
});


         新增的注解支持

Servlet 3.0的部署描述文件web.xml的顶层标签<web-app>有一个metadata-complete属性，该属性指定当前的部署描述文件是否是完全的。如果设置为true，则容器在部署时将只依赖部署描述文件，忽略所有的注解（同时也会跳过web-fragment.xml的扫描，亦即禁用可插性支持，具体请看后文关于可插性支持的讲解）；如果不配置该属性，或者将其设置为false，则表示启用注解支持（和可插性支持）。

@WebServlet

@WebServlet用于将一个类声明为Servlet，该注解将会在部署时被容器处理，容器将根据具体的属性配置将相应的类部署为Servlet。该注解具有下表给出的一些常用属性（以下所有属性均为可选属性，但是vlaue或者urlPatterns通常是必需的，且二者不能共存，如果同时指定，通常是忽略value的取值）：

属性名类型描述

1.nameString指定Servlet的name属性，等价于<servlet-name>。如果没有显式指定，则该Servlet的取值即为类的全限定名。

2.valueString[]该属性等价于urlPatterns属性。两个属性不能同时使用。

3.urlPatternsString[]指定一组Servlet的URL匹配模式。等价于<url-pattern>标签。

4.loadOnStartupint指定Servlet的加载顺序，等价于<load-on-startup>标签。

5.initParamsWebInitParam[]指定一组Servlet初始化参数，等价于<init-param>标签。

6.asyncSupportedboolean声明Servlet是否支持异步操作模式，等价于<async-supported>标签。

7.descriptionString该Servlet的描述信息，等价于<description>标签。

8.displayNameString该Servlet的显示名，通常配合工具使用，等价于<display-name>标签。

下面是一个简单的示例：

@WebServlet(urlPatterns={"/simple"},asyncSupported=true, 
loadOnStartup=-1,name="SimpleServlet",displayName="ss", 
initParams={@WebInitParam(name="username",value="tom")} 
) 
publicclassSimpleServletextendsHttpServlet{…}
如此配置之后，就可以不必在web.xml中配置相应的<servlet>和<servlet-mapping>元素了，容器会在部署时根据指定的属性将该类发布为Servlet。它的等价的web.xml配置形式如下：

<servlet>
<display-name>ss</display-name>
<servlet-name>SimpleServlet</servlet-name>
<servlet-class>footmark.servlet.SimpleServlet</servlet-class>
<load-on-startup>-1</load-on-startup>
<async-supported>true</async-supported>
<init-param>
<param-name>username</param-name>
<param-value>tom</param-value>
</init-param>
</servlet>
<servlet-mapping>
<servlet-name>SimpleServlet</servlet-name>
<url-pattern>/simple</url-pattern>
</servlet-mapping>
@WebInitParam

该注解通常不单独使用，而是配合@WebServlet或者@WebFilter使用。它的作用是为Servlet或者过滤器指定初始化参数，这等价于web.xml中<servlet>和<filter>的<init-param>子标签。@WebInitParam具有下表给出的一些常用属性：

属性名类型是否可选描述

◆nameString否指定参数的名字，等价于<param-name>。
         ◆valueString否指定参数的值，等价于<param-value>。
         ◆descriptionString是关于参数的描述，等价于<description>。

@WebFilter

@WebFilter用于将一个类声明为过滤器，该注解将会在部署时被容器处理，容器将根据具体的属性配置将相应的类部署为过滤器。该注解具有下表给出的一些常用属性(以下所有属性均为可选属性，但是value、urlPatterns、servletNames三者必需至少包含一个，且value和urlPatterns不能共存，如果同时指定，通常忽略value的取值)：

1.filterNameString指定过滤器的name属性，等价于<filter-name>。

2.valueString[]该属性等价于urlPatterns属性。但是两者不应该同时使用。

3.urlPatternsString[]指定一组过滤器的URL匹配模式。等价于<url-pattern>标签。

4.servletNamesString[]指定过滤器将应用于哪些Servlet。取值是@WebServlet中的name属性的取值，或者是web.xml中<servlet-name>的取值。

5.dispatcherTypesDispatcherType指定过滤器的转发模式。具体取值包括：

◆ASYNC、ERROR、FORWARD、INCLUDE、REQUEST。

◆initParamsWebInitParam[]指定一组过滤器初始化参数，等价于<init-param>标签。

◆asyncSupportedboolean声明过滤器是否支持异步操作模式，等价于<async-supported>标签。

◆descriptionString该过滤器的描述信息，等价于<description>标签。

◆displayNameString该过滤器的显示名，通常配合工具使用，等价于<display-name>标签。

下面是一个简单的示例：

@WebFilter(servletNames={"SimpleServlet"},filterName="SimpleFilter") 
publicclassLessThanSixFilterimplementsFilter{…}
如此配置之后，就可以不必在web.xml中配置相应的<filter>和<filter-mapping>元素了，容器会在部署时根据指定的属性将该类发布为过滤器。它等价的web.xml中的配置形式为：

<filter>
<filter-name>SimpleFilter</filter-name>
<filter-class>xxx</filter-class>
</filter>
<filter-mapping>
<filter-name>SimpleFilter</filter-name>
<servlet-name>SimpleServlet</servlet-name>
</filter-mapping>
@WebListener

该注解用于将类声明为监听器，被@WebListener标注的类必须实现以下至少一个接口：

ServletContextListener 
ServletContextAttributeListener 
ServletRequestListener 
ServletRequestAttributeListener 
HttpSessionListener 
HttpSessionAttributeListener
该注解使用非常简单，其属性如下：

属性名类型是否可选描述

valueString是该监听器的描述信息。

一个简单示例如下：

@WebListener("Thisisonlyademolistener") 
publicclassSimpleListenerimplementsServletContextListener{…}
如此，则不需要在web.xml中配置<listener>标签了。它等价的web.xml中的配置形式如下：

<listener>
<listener-class>footmark.servlet.SimpleListener</listener-class>
</listener>
@MultipartConfig

该注解主要是为了辅助Servlet 3.0中HttpServletRequest提供的对上传文件的支持。该注解标注在Servlet上面，以表示该Servlet希望处理的请求的MIME类型是multipart/form-data。另外，它还提供了若干属性用于简化对上传文件的处理。具体如下：

属性名类型是否可选描述

◆fileSizeThresholdint是当数据量大于该值时，内容将被写入文件。

◆locationString是存放生成的文件地址。

◆maxFileSizelong是允许上传的文件最大值。默认值为-1，表示没有限制。

◆maxRequestSizelong是针对该multipart/form-data请求的最大数量，默认值为-1，表示没有限制。

可插性支持

如果说3.0版本新增的注解支持是为了简化Servlet/过滤器/监听器的声明，从而使得web.xml变为可选配置，那么新增的可插性(pluggability)支持则将Servlet配置的灵活性提升到了新的高度。熟悉Struts2的开发者都知道，Struts2通过插件的形式提供了对包括Spring在内的各种开发框架的支持，开发者甚至可以自己为Struts2开发插件，而Servlet的可插性支持正是基于这样的理念而产生的。使用该特性，现在我们可以在不修改已有Web应用的前提下，只需将按照一定格式打成的JAR包放到WEB-INF/lib目录下，即可实现新功能的扩充，不需要额外的配置。

Servlet 3.0引入了称之为“Web模块部署描述符片段”的web-fragment.xml部署描述文件，该文件必须存放在JAR文件的META-INF目录下，该部署描述文件可以包含一切可以在web.xml中定义的内容。JAR包通常放在WEB-INF/lib目录下，除此之外，所有该模块使用的资源，包括class文件、配置文件等，只需要能够被容器的类加载器链加载的路径上，比如classes目录等。

现在，为一个Web应用增加一个Servlet配置有如下三种方式(过滤器、监听器与Servlet三者的配置都是等价的，故在此以Servlet配置为例进行讲述，过滤器和监听器具有与之非常类似的特性)：

1.编写一个类继承自HttpServlet，将该类放在classes目录下的对应包结构中，修改web.xml，在其中增加一个Servlet声明。这是最原始的方式；

2.编写一个类继承自HttpServlet，并且在该类上使用@WebServlet注解将该类声明为Servlet，将该类放在classes目录下的对应包结构中，无需修改web.xml文件。

3.编写一个类继承自HttpServlet，将该类打成JAR包，并且在JAR包的META-INF目录下放置一个web-fragment.xml文件，该文件中声明了相应的Servlet配置。web-fragment.xml文件示例如下：

<?xmlversionxmlversion="1.0"encoding="UTF-8"?>
<web-fragment
xmlns=http://java.sun.com/xml/ns/javaee 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"version="3.0" 
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
http://java.sun.com/xml/ns/javaee/web-fragment_3_0.xsd" 
metadata-complete="true">
<servlet>
<servlet-name>fragment</servlet-name>
<servlet-class>footmark.servlet.FragmentServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>fragment</servlet-name>
<url-pattern>/fragment</url-pattern>
</servlet-mapping>
</web-fragment>
从上面的示例可以看出，web-fragment.xml与web.xml除了在头部声明的XSD引用不同之外，其主体配置与web.xml是完全一致的。由于一个Web应用中可以出现多个web-fragment.xml声明文件，加上一个web.xml文件，加载顺序问题便成了不得不面对的问题。Servlet规范的专家组在设计的时候已经考虑到了这个问题，并定义了加载顺序的规则。

web-fragment.xml包含了两个可选的顶层标签，<name>和<ordering>，如果希望为当前的文件指定明确的加载顺序，通常需要使用这两个标签，<name>主要用于标识当前的文件，而<ordering>则用于指定先后顺序。一个简单的示例如下：

<web-fragment...>
<name>FragmentA</name>
<ordering>
<after>
<name>FragmentB</name>
<name>FragmentC</name>
</after>
<before>
<others/>
</before>
</ordering>
… 
</web-fragment>
如上所示，<name>标签的取值通常是被其它web-fragment.xml文件在定义先后顺序时引用的，在当前文件中一般用不着，它起着标识当前文件的作用。在<ordering>标签内部，我们可以定义当前web-fragment.xml文件与其他文件的相对位置关系，这主要通过<ordering>的<after>和<before>子标签来实现的。在这两个子标签内部可以通过<name>标签来指定相对应的文件。比如：

<after>
<name>FragmentB</name>
<name>FragmentC</name>
</after>
以上片段则表示当前文件必须在FragmentB和FragmentC之后解析。<before>的使用于此相同，它所表示的是当前文件必须早于<before>标签里所列出的web-fragment.xml文件。除了将所比较的文件通过<name>在<after>和<begin>中列出之外，Servlet还提供了一个简化的标签<others/>。它表示除了当前文件之外的其他所有的web-fragment.xml文件。该标签的优先级要低于使用<name>明确指定的相对位置关系。

ServletContext的性能增强

除了以上的新特性之外，ServletContext对象的功能在新版本中也得到了增强。现在，该对象支持在运行时动态部署Servlet、过滤器、监听器，以及为Servlet和过滤器增加URL映射等。以Servlet为例，过滤器与监听器与之类似。ServletContext为动态配置Servlet增加了如下方法：

◆ServletRegistration.DynamicaddServlet(StringservletName,Class<?extendsServlet>servletClass)

◆ServletRegistration.DynamicaddServlet(StringservletName,Servletservlet)

◆ServletRegistration.DynamicaddServlet(StringservletName,StringclassName)

◆<TextendsServlet>TcreateServlet(Class<T>clazz)

◆ServletRegistrationgetServletRegistration(StringservletName)

◆Map<String,?extendsServletRegistration>getServletRegistrations()

其中前三个方法的作用是相同的，只是参数类型不同而已；通过createServlet()方法创建的Servlet，通常需要做一些自定义的配置，然后使用addServlet()方法来将其动态注册为一个可以用于服务的Servlet。

两个getServletRegistration()方法主要用于动态为Servlet增加映射信息，这等价于在web.xml(抑或web-fragment.xml)中使用<servlet-mapping>标签为存在的Servlet增加映射信息。以上ServletContext新增的方法要么是在ServletContextListener的contexInitialized方法中调用，要么是在ServletContainerInitializer的onStartup()方法中调用。

ServletContainerInitializer也是Servlet3.0新增的一个接口，容器在启动时使用JAR服务API(JARServiceAPI)来发现ServletContainerInitializer的实现类，并且容器将WEB-INF/lib目录下JAR包中的类都交给该类的onStartup()方法处理，我们通常需要在该实现类上使用@HandlesTypes注解来指定希望被处理的类，过滤掉不希望给onStartup()处理的类。

HttpServletRequest对文件上传的支持

此前，对于处理上传文件的操作一直是让开发者头疼的问题，因为Servlet本身没有对此提供直接的支持，需要使用第三方框架来实现，而且使用起来也不够简单。如今这都成为了历史，Servlet 3.0已经提供了这个功能，而且使用也非常简单。为此，HttpServletRequest提供了两个方法用于从请求中解析出上传的文件：

◆PartgetPart(Stringname)
         ◆Collection<Part>getParts()

前者用于获取请求中给定name的文件，后者用于获取所有的文件。每一个文件用一个javax.servlet.http.Part对象来表示。该接口提供了处理文件的简易方法，比如write()、delete()等。至此，结合HttpServletRequest和Part来保存上传的文件变得非常简单，如下所示：

◆Partphoto=request.getPart("photo");
         ◆photo.write("/tmp/photo.jpg");

可以将两行代码简化为request.getPart("photo").write("/tmp/photo.jpg")一行。另外，开发者可以配合前面提到的@MultipartConfig注解来对上传操作进行一些自定义的配置，比如限制上传文件的大小，以及保存文件的路径等。其用法非常简单，故不在此赘述了。需要注意的是，如果请求的MIME类型不是multipart/form-data，则不能使用上面的两个方法，否则将抛异常。

Servlet 3.0的众多新特性使得Servlet开发变得更加简单，尤其是异步处理特性和可插性支持的出现，必将对现有的MVC框架产生深远影响。虽然我们通常不会自己去用Servlet编写控制层代码，但是也许在下一个版本的Struts中，您就能切实感受到这些新特性带来的实质性改变。



Tomcat7 最大的改进是其对Servlet 3.0和Java EE 6的支持,内存检测泄露和增强的安全特性。

新特性

1 使用随机数去防止跨站脚本攻击。

2 改变了安全认证中的jessionid的机制，防止session攻击。

3 内存泄露的侦测和防止

4 在war文件外使用别名去存储静态内容。

增强功能

5 对Servlet 3.0,JSP 2.2和JSP-EL 2。2的支持

6 更容易将Tomcat内嵌到应用去中去，比如JBoss

7 异步日志记录

一、使用随机数去防止跨站请求伪造攻击

Wikipedia将跨站请求伪造攻击(Cross Site Request forgery,CSRF)定义为：“一种影响Web应用的恶意攻击。CSRF让用户当进入一个可信任的网页时，被强行执行恶意代码。

经典的防止CSRF攻击的方法是使用随机数的方式，Wikipedia中定义为“利用随机或伪随机数嵌入到认证协议中，以确保旧的不能在以后的重放攻击中被利用。”

Tomcat 7中有一个servlet过滤器，用于将随机数存储在用户每次请求处理后的seesion会话中。这个随机数，必须作为每次请求中的一个参数。 Servlet过滤器然后检查在请求中的这个随机数是否与存储在用户session中的随机数是一样的。如果它们是相同的，该请求是判断来自指定的网站。如果它们是不同的，该请求被认为是从其他网站发出并且会被拒绝。

这个servlet过滤器是十分简单的，下面是从TOMCAT 源代码CsrfPreventionFilter文档中摘录的片段：

public class CsrfPreventionFilter extends FilterBase { 

public void doFilter(ServletRequest request, ServletResponse response, 
FilterChain chain) throws IOException, ServletException { 

String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); 
String expectedNonce = (String) req.getSession(true).getAttribute(Constants.CSRF_NONCE_SESSION_ATTR_NAME); 

if (expectedNonce != null && !expectedNonce.equals(previousNonce)) { 
res.sendError(HttpServletResponse.SC_FORBIDDEN); 
return; 
} 

String newNonce = generateNonce(); 
req.getSession(true).setAttribute(Constants.CSRF_NONCE_SESSION_ATTR_NAME, newNonce); 

所以每个URL地址中都有一个从用户session中提取的随机数，下面是使用的JSTL例子：

在以前，JSTL中构造链接可以这样：

< c:url var="url" value="/show" >
< c:param name="id" value="0" / >
< /c:url >
< a href="${show}" >Show< /a >

而现在可以这样：

< c:url var="url" value="/show" >
< c:param name="id" value="0" / >
< c:param name="org.apache.catalina.filters.CSRF_NONCE" value="${session.org.apache.catalina.filters.CSRF_NONCE}" / >
< /c:url >

具体的例子可以参考Tomcat 7自带例子中的演示，这个过滤器可以在web.xml中进行配置，配置后，所有访问如：http://localhost:8080/tomcat7demo/csrf/的都必须带上参数，不带上参数的话会出现403禁止访问错误。

当然这种方法的缺点就是所有的链接都必须带上这个随机数。

二、改变了安全认证中的jessionid的机制，防止session攻击

Session劫持攻击通常是以下的情况：

1 恶意攻击者先访问一个网页，由于cookie是以jsession id的方式存储在浏览器中的，即使攻击者不登陆，他可以伪造一个带有jsession id的地址，把它发给受害者，比如：http://example.com/login?JESSIONID=qwerty

2 受害者点这个带有jsessionid的链接，提示输入验证信息之后就登陆系统。

3 攻击者现在使用这个带jsessionid的链接，以受害者的身份登陆进系统了。

对于攻击者来说，将jsessionid加在url中以及通过一个恶意表单发送出去是很容易的事，对于session劫持攻击的更详细描述，请参考Acros Security组织的白皮书“Session Fixation Vulnerability in Web-based Applications”。

Tomcat 7对此的解决方案是一个补丁，它在验证后改变了jsessionid。这个补丁主要是应用在Tomcat 7中，当然在TOMCAT 5和6中也可以使用但只是有些不同。

根据Mark Thomas说的，应用了Tomcat 7的这个补丁后：

◆ TOMCAT默认情况下安全性不再变得脆弱，因为验证后会话发生了变化

◆ 如果用户改变了默认设置(比如应用程序不能处理变化了的session id),风险也会降到最小，因为在Servlet 3中，可以禁止在url中进行会话跟踪。

而在TOMCAT 5和TOMCAT 6中，应用了补丁后：

◆ 能阻止session劫持攻击，因为能让TOMCAT在验证后改变session id。

◆ 如果应用程序不能处理变化了的session id，可以通过写自定义的过滤器去检查request.isRequestedSessionIdFromURL()和其返回的结果，以降低风险。

以上这些改变都是TOMCAT在幕后所做的，开发者根本不用去理会。

三、内存泄露的侦测和防止

开发者在部署他们写的程序到生产环境上时，经常会遇到Pemgen错误：OutOfMemoryError。这是由于内存泄露而引起的。通常开发者是通过增大permgen内存的大小去解决或者就是重新启动tomcat。

Tomcat 7包含了一个新的特性，它通过把不能垃圾回收的引用对象移走的方法，能解决一些Permgen内存泄露的问题。这个特性对程序员部署应用程序在他们的开发环境中是十分方便的，因为程序员在开发环境中为了节省时间一般不重新启动Tomcat就能部署新的war文件。在生产环境中，最好的建议还是停掉TOMCAT,然后清除work下面的目录文件并且重新部署应用。

当然，内存泄露检测和防止这个特性现在还不是很完善，还是有的情况TOMCAT不能检测内存泄露和修复之的，所以对于生产环境，最好的的办法还是停掉TOMCAT,然后清除work下面的目录文件并且重新部署应用。

Mark Thomas解析应用程序或者库程序在如下情况下会触发内存泄露：

◆ JDBC驱动的注册

◆ 一些日志框架

◆ 在ThreadLocals中保存了对象但没有删除它们

◆ 启动了线程但没停止

而 Java API 存在内存泄漏的地方包括：

1.使用 javax.imageio API ( Google Web Toolkit会用到)

2.使用 java.beans.Introspector.flushCaches()

3.使用 XML 解析器

4.使用 RMI 远程方法调用

5.从 Jar 文件中读取资源

四、在war文件外使用别名去存储静态内容

Web应用程序需要静态资源文件，比如象CSS，Javascript和视频文件、图片文件等。通常都把它们打包放在war文件中，这将增加了WAR文件的大小并且导致很多重复的加载静态资源。一个比较好的解决方法是使用Apache HTTP服务器去管理这些静态文件资源，下面是一个apache httpd.conf文件的配置摘录：

< Directory "/home/avneet/temp/static" >
Order allow,deny 
Allow from all 
< /Directory >
Alias /static "/home/avneet/temp/static" 

以上的设置，使得访问http://localhost/static时，能访问到放在/home/avneet/temp/static下的资源。

允许使用新的aliases属性，指出静态文件资源的位置，可以通过使用Classloader.getResourceAsStream('/static/…')或者在链接中嵌入的方法让TOMCAT去解析绝对路径，下面是一个在context.xml中配置的例子：

< ?xml version="1.0" encoding="UTF-8"? >
< Context path="/tomcat7demo" aliases="/static=/home/avneet/temp/static" >
< /Context >

假设/home/avneet/temp/static这个文件夹存放有一张图片bg.png，如果war文件以tomcat7demo的名字部署，那么可以通过以下三个方式去访问这张图片

1 直接访问：http://localhost:8080/tomcat7demo/static/bg.png

2 在HTML链接中访问：

< img src="/tomcat7demo/static/bg.png" / >
3 通过JAVA代码访问：

ByteArrayInputStream bais = (ByteArrayInputStream)getServletContext().getResourceAsStream("/static/bg.png"); 
使用aliases的好处是可以代替Apache的httpd.conf的设置，并且可以在servlet容器范围内访问，并且不需要Apache。



五、对Servlet 3.0,JSP 2.2和JSP-EL 2.2的支持

Servlet 3的增强特性有：

◆ 可以在POJO或者过滤器filters中使用annotations注释(在web.xml中不再需要再进行设置了)

◆ 可以将web.xml分块进行管理了。也就是说，用户可以编写多个xml文件，而最终在web.xml中组装它们，这将大大降低web.xml的复杂性增强可读性。比如， struts.jar和spring-mvc.jar每一个都可以有一个web-fragment.xml。开发者不再需要在web.xml中去配置它们了，在web-fragment.xml中的jar文件会自动加载，并且struts/spring-mvc servlets和filters也会自动装配设置。

◆ 异步处理web的请求—-这个特性在tomcat 6 中已经有了，现在在Tomcat 7中以Servlet 3标准规范化了，能让使用异步I/O的web应用程序可以移植到不同的web容器中。异步处理使用非阻塞I/O，每次的HTTP连接都不需要对应一个线程。更少的线程可以为更多的连接提供服务。这对于需要长时间计算处理才能返回结果的情景来说是很有用的，比如产生报表，Web Servce调用等。

◆ 安全的增强—Servlet 3.0现在使用SSL 去加强了会话session的跟踪，代替了原来的cookie和URL重写。

六、更容易将Tomcat内嵌到应用去中去

Tomcat 7现在可以嵌入到应用程序中去，并可以通过程序去动态设置和启动。象在CATALINA_HOME/conf/server.xml中的很多配置，现在都可以用程序动态去设置了。在Tomcat 7前，Tomcat 6提供了一个嵌入类，它能方便地去配置Tomcat。但在Tomcat 7中，这个类已被废弃了。这个新的Tomcat 7的类，使用了几个默认的配置元素，并提供了一个更容易和简单的方法去嵌入Tomcat。

下面是CATALINA_HOME/conf/server.xml中的一些相关属性和配置：

< Server >
< Service >
< Connector port="8080 >
< Engine >
< Host appBase="/home/avneet/work/tomcat7demo/dist" / >
< /Engine >
< /Connector >
< /Service >
< /Server >

我们可以通过程序去进行动态设置了：

final String CATALINA_HOME = "/home/avneet/work/temp/tomcat7demo/"; 
Tomcat tomcat = new Tomcat(); 
tomcat.setBaseDir( CATALINA_HOME ); 
tomcat.setPort( 8080 ); 
tomcat.addWebapp("/tomcat7demo", CATALINA_HOME + "/webapps/tomcat7demo.war"); 
tomcat.start(); 
System.out.println("Started tomcat"); 
tomcat.getServer().await(); //Keeps Tomcat running until it is shut down 
//Webapp tomcat7demo accessible at http://localhost:8080/tomcat7demo/ 

七、异步日志记录

Tomcat 7现在包括了一个异步日志记录器(AsyncFileHandler)。AsyncFileHandler继承了FileHandler类并能代替FileHandler。使用AsyncFileHandler,时，只需要在CATALINA_HOME/conf/logging.properties中把FileHandler全部替换为AsyncFileHandler就可以了。要注意的是异步日志不能跟log4一起工作。

当有日志发向AsyncFileHandler时，日志被加入到队列中(java.util.concurrent.LinkedBlockingDeque)并且方法调用的信息会马上返回不需要等待I/O写到磁盘中。当类加载器加载AsyncFileHandler时，会有一个单独的线程启动，这个线程会从队列中读取日志信息并且写到磁盘中去

这种方法的好处是如果I/O速度很慢(比如日志要保存在远端的设备上)时，记录日志的请求和处理过程不会显得很慢。

AsyncFileHandler使用生产者和消费者的关系原理，在队列中存储日志信息。队列默认大小为10000。为了预防队列溢出，默认是丢弃最后的信息。默认的队列大小和溢出的设置都可以通过启动参数进行设置。