Discussion :

[tchize_]

J'ai un soucis avec les @Observes dans une application J2EE. J'ai des beans en @SessionScoped qui observent un évènement.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
@SessionScoped
public class SomeProducer implements Serializable {
  @PostConstruct
  public void findData() { 
    //..
  }
  public void onDataChanged(@Observes DataChangedEvent event){ 
  //...
  }
}

Ce bean est destiné aux utilisateur admins, seuls eux l'utilisent. Ce bean appelle d'autres EJB avec des @RolesAllowed qui requierent d'être admin. Par contre, les évènements peuvent être envoyés par des utilisateurs lambda durant la modification de leurs données persos. Je me retrouve avec la situation curieuse où ce bean admin est instancié quand un utilisateur lance un event. J'ai donc trois questions:

1)Y-a-t-il moyen de ne lancer l'event que vers les beans actuellement instanciés et non pas d'instancier tous les beans ayant un @Observes lors de l'event?
2)Si ce n'est pas possible, est-il possible de marquer quelque part qu'un rôle est requis sur une méthode @Observe pour qu'elle soit ignorée si on n'a pas le rôle?
3)Si je met un @RunAs sur le bean pour contourner le problème de droit, lors du @PostConstruct j'ai toujours le problème de permissions, comme si à ce moment là le @runas était ignoré. Le postconstruct est-il supposé respecter le @RunAs ?

edit: je viens d'avoir la réponse à la question 1) et implicitement la 2) via

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

@Observes(notifyObserver = Reception.IF_EXISTS)

La 3) reste d'actualité

[Ithildine]

Je viens de trouver ceci, par hasard : https://docs.jboss.org/author/displa...eference+Guide
et ceci, en cherchant un peu, http://www.javamonamour.org/2011/03/mdb-runas.html

As-tu essayé l'annotation @RunAsPrincipal ? Cela a-t-il résolu ton soucis ?

EDIT : Mais à y réfléchir je me demande si les annotations de sécurité EJB - et donc gérées par le conteneur d'EJB - ont une influence sur un postConstruct qui me semble être invoqué par le conteneur CDI, lequel est généralement distinct du conteneur EJB bien que travaillant avec lui... Pour lever l'ambiguité, j'utilerais bien un stateless bean plustôt qu'un bean CDI, à qui je confierais le traitement de la méthode findall. Qu'en penses-tu ? Et au niveau perf/gestion de ressources ?