Обеспечить защиту EJB с помощью Apache Shiro?

Question

Я хочу знать, могу ли я использовать Apache Shiro для обеспечения уровня бизнес-приложения Java EE, управляемого контейнером. Я спрашиваю, потому что я не нашел примеров, но только такие утверждения, как «он работает в сетях, EJB и IoC».

Apache Shiro, по сравнению с контролем доступа по умолчанию на основе ролей по умолчанию, имеет более широкие возможности авторизации пользователей (например, строки прав доступа), которые, я надеюсь, можно использовать в качестве замены для защиты методов сессионных компонентов в основе аннотации.

Возможно ли это, и кто-нибудь попробовал? Существуют ли ограничения? Пример или учебник тоже были бы хороши.

Answer 1

Ок, я курировавший that answer от Les Hazlewood с 2010 года

Суть в том, что поддержка для обеспечения EJBs дается, если субъект может быть связан с текущим потоком , Это происходит автоматически через фильтр Сиро, если запрос инициируется из веб-среды.

Он также заявляет:

После Тема связана с нитью, АОП является одним из самых простых способов приведения ограничений безопасности. Затем вы можете аннотировать ваши методы EJB [...].

Answer 2

Вы можете использовать siro API как простой java-код в ejb.

Вы можете использовать https://issues.apache.org/jira/browse/SHIRO-337 слишком