Discussion :

[ZouBi]

Bonjour,
Sur mon serveur glassfish, je possède des applications EJB comprenant des RemoteBean.

J'ai une application client qui fonctionne en dehors de la JVM et qui fait appel à ces EJBs. Jusqu'ici tout va bien.
Ce qui m'inquiète (sauf si je me trompe), c'est que n'importe qui récupérant les interfaces Remote de ces EJB et connaissant l'IP du serveur peut faire des appels à leurs méthodes?

Sachant que ces méthodes agissent sur la base de donnée, ça m'inquiete un peu.

J'ai lu ce très bon bouquin sur le JEE où dans son exemple, il possède aussi des Remote Beans qui agit directement sur la base de données. Mais ne mentionne en aucun cas les défaillances de sécurité.

Comment cela se passe?

[fr1man]

Je ne suis pas expert en la matière mais un des intéret des ejbs est justement la partie sécurité.
Tu peux utiliser des annotations sur les méthodes de tes ejbs pour définir les roles qui auront accès à ces méthodes.
Ensuite, au niveau de ton application cliente, tu dois passer les parametres d'authentification avant l'appel de ton ejb. J'ai l'impression que la méthode dépend du serveur d'application que tu utilises.

[fxrobin]

Tout à fait, voici d'ailleurs les annotations qui permettent de traiter de la problématique de sécurité :
http://sqltech.cl/doc/oas10gR31/web....ervsecr004.htm


et voici un tuto avec GlassFish :
http://www.packtpub.com/article/ejb-3-security

[ZouBi]

Désolé de ma réponse tardive.
Merci pour vos réponses, ça me permet de mieux comprendre le mécanisme des EJB.