控制EJB调用上传递的安全原则

Java EE的安全性有点一无是处。您应该使用Java EE身份验证机制来正确设置安全上下文。如你所见 EJBContext 您可以通过注入获得的是只读的。

我知道更改安全上下文的唯一标准方法是使用 @RunAs (见 an example ),但它非常不灵活。不能动态传递凭据。

有一些不可移动的容器特定机制,例如Glassfish ProgrammaticLogin . 但即使在这种情况下,您需要传递用户名/密码,也不能只更改 Principal 在飞行中。

新的 Security API in Java EE 8 提供一致的安全方法。这个 SecurityContext 抽象跨越了Servlet和EJB容器,并提供返回用户主体的方法。

在Java EE 5/6/7中,servlet和EJB容器不一致地实现安全上下文对象。例如,servlet容器提供 HttpServletRequest 在其上 getUserPrincipal() 方法来获取用户 Principal ,并且EJB容器提供不同的名称 EJBContext 实例,在其上调用相同名称的方法。同样,要测试用户是否属于某个角色,方法 isUserRole() 是在 实例和 isCallerInRole() 是在 EJBContext 实例。

这个 在Servlet和EJB容器之间提供一致性,以获取此类信息。