Discussion :

[teletexte]

Bonjour,

J'ai plusieurs interrogations et j'aimerai que vous m'aidiez à éclaircir certaines zones d'ombres. Voici mes questions :

- Les clients doivent-ils forcément être sur le même serveur que les sessions beans ?
- Si oui, si un client utilise les contextes application, session, peut-on y accéder dans une session bean ? un interceptor ? comment ?

En fait la finalité de ces questions est celle qui met en place la sécurité des méthodes des sessions beans. Le but est de pouvoir invoquer ou non une méthode suivant l'identité de l'appelant. Avec un interceptor on peut avoir accès à un entity manager pour vérifier l'existence d'une identité, mais je ne vois comment transmettre l'identité de l'appelant ? A part en paramètres, mais bon c'est pas très élégant...

Merci

[longbeach]

Dans les EJB 3, il existe des annotations pour définir des autorisations, soit au niveau des classes, soit au niveau des méthodes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
@Stateless(name="XBean")
public class XBean implements X {
   @RolesAllowed("admin")
   public void methodeA() { ... }
   ...
}

Sinon de façon déclarative dans le fichier XML.

[teletexte]

Oui j'avais vu cette solution. Mais le problème c'est que les autorisations dépendent d'un fichier XML et dans mon cas d'une base de données. J'aimerai en fait pouvoir récupérer l'équivalent de httpSession dans une servlet dans mon interceptor. Est-ce possible ? ou alors je me trompe complètement dans le sens où le client(une servlet) qui utilise mes sessions beans et qui met des choses dans le contexte n'est pas forcément sur le même serveur et que par conséquent mes sessionBeans, mes interceptors... ne peuvent pas accéder à ce contexte ? peut-être n'ont t-ils pas de contextes puisque n'étant pas des applications dans le sens où ils ne correspondent pas à des répertoires de Webapps ?

[ghoudmon]

Tu ne peux pas accéder à ta session http dans des EJB ou des interceptors.

Par contre, tu as un context EJB (EJBContext) qui contient le Principal.

Pour avoir l'ejbcontext dans un interceptor, tu as la méthode

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

javax.ejb.InvocationContext.getEJbContext()

ou dans un EJB avec :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
@Resource
private SessionContext sctx;

Le Principal est passé "automatiquement" au conteneur J2EE par les clients EJB (ex: servlet). Encore faut-il que l'utilisateur soit authentifié via un mécanisme JAAS (c'est le cas pour les authentifications effectués par les conteneurs). Si tu as une page de login spécifique, tu peux utiliser les "LoginModule" mis à ta disposition par le conteneur.