我的应用程序具有表单安全域,安全性决策是程序化和细粒度的。这适用于Servlet。但我也调用EJB方法,根据请求模型的用户是否处于特定角色返回模型,就像HttpServletRequest :: isUserInRole(“someRole”)用于决定是否返回某些资源,但是更精细的水平。
这似乎不起作用 - 安全性没有传播:
@Resource SessionContext ctx; //in a session bean
ctx的getUserPrincipal()。getName()始终返回“anonymous”。
在整个互联网上搜索没有任何积极的东西。我现在想的重构EJB的方法来接受HttpServletRequest的参考,但是这将是混乱和哈克...只是似乎并不像一个很好的做法。
有人有任何提示吗?