frm*_*frm 3 authentication servlets ejb java-ee
我有以下servlet.
@DeclareRoles("remote-guest")
@RunAs("remote-guest")
public class GuestServlet extends HttpServlet {
@EJB
private Test test;
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
test.guest();
}
}
映射servlet使得只有具有角色的用户guest才能调用它.
<servlet>
<servlet-name>guest-servlet</servlet-name>
<servlet-class>test.web.GuestServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>guest-servlet</servlet-name>
<url-pattern>/guest</url-pattern>
</servlet-mapping>
<security-role>
<role-name>guest</role-name>
</security-role>
<security-constraint>
<web-resource-collection>
<web-resource-name>guest-resources</web-resource-name>
<url-pattern>/guest</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>guest</role-name>
</auth-constraint>
</security-constraint>
该TestEJB由以下实现TestBean类.
@Stateless
@DeclareRoles("remote-guest")
public class TestBean implements Test {
@RolesAllowed("remote-guest")
public void guest() {
System.out.println("TestBean.guest()");
}
}
问题:当我调用GuestServlet使用仅映射到guest角色的用户时,javax.ejb.EJBAccessException尽管@RunAsservlet上存在注释,但EJB仍会抛出.我还应该将用户映射到remote-guest角色吗?如果用户既映射到guest和remote-guest,什么是真正的目的@RunAs?
是的,用户需要映射到角色.虽然它可能与具有"访客"角色的用户不同.如EJB 3.1规范17.3.4.1中所述:
由于Bean Provider和Application Assembler通常不知道操作环境的安全环境,因此run-as身份由逻辑角色名称指定,该角色名称对应于Bean Provider定义的安全角色之一或应用程序汇编程序在元数据注释或部署描述符中.
然后,Deployer会分配在操作环境中定义的安全主体,以用作run-as身份的主体.部署者分配的安全主体应该是已分配给RunAs注释指定的安全角色或运行方式部署描述符元素的role-name元素的主体.
和oracle jee6教程:http://docs.oracle.com/cd/E19226-01/820-7627/bnbyr/index.html
@RunAs的作用是允许具有不同角色和用户集的两个容器之间的通信(如上面的链接中所示)或为没有安全上下文的组件提供安全标识:例如,消息驱动Bean需要调用另一个需要调用者具有某些角色的bean.
| 归档时间: |
|
| 查看次数: |
5426 次 |
| 最近记录: |