EAR

时间:2017-10-05 00:50:52

标签: java security java-ee ejb jaas

我的应用程序具有表单安全域,安全性决策是程序化和细粒度的。这适用于Servlet。但我也调用EJB方法,根据请求模型的用户是否处于特定角色返回模型,就像HttpServletRequest :: isUserInRole(“someRole”)用于决定是否返回某些资源,但是更精细的水平。

这似乎不起作用 - 安全性没有传播:

@Resource SessionContext ctx; //in a session bean

ctx的getUserPrincipal()。getName()始终返回“anonymous”。

在整个互联网上搜索没有任何积极的东西。我现在想的重构EJB的方法来接受HttpServletRequest的参考,但是这将是混乱和哈克...只是似乎并不像一个很好的做法。

有人有任何提示吗?

0 个答案:

没有答案