У меня есть приложение EJB 3 как сервисный слой и веб-приложение Tapestry 5 в качестве его клиента. EJB должны предоставить фасад сеанса для использования веб-приложением.Безопасность EJB3: как отслеживать зарегистрированного пользователя?
Для выполнения операций, определенных на уровне EJB, пользователю необходимо войти в систему через веб-интерфейс. У меня должна быть безопасность на уровне лица, поэтому декларативная безопасность Java EE для меня здесь невелика.
Как мне обеспечить безопасность в этом виде настройки? Я предпочел бы, чтобы он был реализован на уровне EJB, а затем в веб-приложении, если я переключу клиентов.
Я мог бы использовать http-сеанс в веб-приложении для хранения пользовательского сеанса, а затем передать объект User в каждом безгосударственном EJB-вызове.
public void doStuff(params, User user);
Являются ли сеансы с состоянием сессионным решением здесь?
Редактировать: По уровню безопасности уровня Я имею в виду безопасность на уровне строк.