如果我们将 SessionScoped bean 注入到 Stateless bean 中,如果没有 HTTP 会话会发生什么?
If we inject a SessionScoped bean into a Stateless bean, what happens if there is no HTTP session?
我们的应用程序由与支持 bean 和无状态 EJB 服务交互的网页组成,但还有一个与无状态 EJB 服务交互的远程客户端。
很多服务查询DB,然后根据当前user/caller过滤结果集(比如用户只能查看某些记录类型);也就是说,他们使用程序化而非声明式安全性。
在 web 端,我的直觉是将当前登录的用户存储在 SessionBean 中,但我希望无状态 EJB 服务根据当前登录的用户过滤结果集,以便过滤也适用于远程客户端调用。我可以将 SessionBean 注入到无状态 EJB 服务中,但我认为 SessionBean 使用 HTTP 会话,并且由于在远程客户端调用期间没有 HTTP 会话,所以我看不出它是如何工作的。
我感觉我的方法是错误的,我应该从容器中取回 "Principal";然而,由于我们应用程序的开发生命周期,容器管理的安全性尚未设置,但我仍然负责现在而不是以后实现负责过滤记录的业务逻辑。
我的相关问题:
- 在知道无状态 EJB 将被远程客户端调用的情况下,是否可以将 SessionScoped bean 注入到无状态 EJB 中?在这种情况下,SessionScoped bean 的值是多少?
- 我的支持 bean 和无状态 EJB 服务是否应该从容器中检索 Principal,而不是 SessionScoped bean?
- 如果是,在设置容器管理的安全性之前,我如何替换模拟主体来处理业务逻辑?
p.s。我是 Java EE 的新手。
技术:
- Java EE 6
- GlassFish 3.1.2.2
- "Backing bean" 例如
javax.enterprise.context.SessionScoped
- "Stateless EJB services",例如
javax.ejb.Stateless
- "remote client";即一些非网络客户端直接调用无状态 bean(通过 EJB/RMI)
更新:
有关 "remote client" 的更多详细信息。我不确定如何表达这个,因为我是 Java EE 的新手,但是这个 "remote client" 不会通过 HTTP。另一个应用程序,我们称它为应用程序 X,将从客户端接收 XML 消息。我认为他们使用证书对客户端进行身份验证。应用程序 X 会将 XML 转换为 POJO 并直接调用我的无状态 EJB 服务。
在这种情况下,我认为我不应该将 SessionBean 注入 Stateless EJB 服务是正确的,因为调用 EJB 服务时不会有 HTTP 会话by Application X. 我的理解对吗?
感谢您的耐心等待。我知道我在这些事情上的无知。
你的问题不是很清楚。你的问题让我假设了很多。因此,您应该分解问题并提供有关问题的更多详细信息。
首先,您应该说明您使用的 Java EE 版本。无论如何,这里是我的详细信息以及对您的上下文的一些假设。
假设你说的是以下
支持豆:http://docs.oracle.com/javaee/5/tutorial/doc/bnaqm.html
"Stateless beans" == 无状态会话 bean:http://docs.oracle.com/javaee/6/tutorial/doc/gipjg.html#gipin
SessionScoped bean:http://docs.oracle.com/javaee/6/tutorial/doc/gjbbk.html
"remote client interaction": http://docs.oracle.com/javaee/6/tutorial/doc/gipjf.html#girfl
对于主要问题,您应该记住将 Http 会话与有状态会话 bean 分开:
因此,如果您尝试将 Http Session 与有状态会话 bean 结合使用,您必须将 http 会话详细信息提供到一个区域中,http 会话和有状态会话 bean 都可以访问数据并保存对它的引用。
这还假设您的远程 EJB 服务不会首先创建 http 会话。因此,您将无法通过远程 EJB 有效引用 HTTP 会话。
如果您使用的是基于 HTTP 的 "remote client interaction",为什么不在第一次请求时创建 HTTP 会话?
HttpServletRequest.getSession(true)
将确保您始终获得有效会话
如果您正在使用其他一些基于 HTTP 的框架,例如 jax-rs,也可以选择在那里获取 HTTP 会话。
更新 1
Can a SessionScoped bean be injected into a Stateless EJB knowing that
the Statelesss EJB will be invoked by remote clients? What is the
value of the SessionScoped bean in that case?
您可以将支持 bean 用作 EJB 中的 POJO,但不能用作 http 会话作用域的 bean。如果您需要来自远程 EJB 的它们,则必须在使用之前先初始化它们。意味着,对远程 EJB 调用没有价值。
Instead of a SessionScoped bean, should my backing beans and Stateless
EJB services be retrieving the Principal from the container?
这里的问题也不是很清楚。
您可以将容器 (glassfish) 配置为使用手动用户、角色和领域。所以这是您本地的 Security 模拟,您可以从容器中检索 Principal。
http://docs.oracle.com/javaee/6/tutorial/doc/bnbxj.html#bnbxs
独立:我建议您阅读有关 Java EE 的 Oracle 教程。这是相当不错的。花一些钱我会推荐 Java EE 7 Essentials
我们的应用程序由与支持 bean 和无状态 EJB 服务交互的网页组成,但还有一个与无状态 EJB 服务交互的远程客户端。
很多服务查询DB,然后根据当前user/caller过滤结果集(比如用户只能查看某些记录类型);也就是说,他们使用程序化而非声明式安全性。
在 web 端,我的直觉是将当前登录的用户存储在 SessionBean 中,但我希望无状态 EJB 服务根据当前登录的用户过滤结果集,以便过滤也适用于远程客户端调用。我可以将 SessionBean 注入到无状态 EJB 服务中,但我认为 SessionBean 使用 HTTP 会话,并且由于在远程客户端调用期间没有 HTTP 会话,所以我看不出它是如何工作的。
我感觉我的方法是错误的,我应该从容器中取回 "Principal";然而,由于我们应用程序的开发生命周期,容器管理的安全性尚未设置,但我仍然负责现在而不是以后实现负责过滤记录的业务逻辑。
我的相关问题:
- 在知道无状态 EJB 将被远程客户端调用的情况下,是否可以将 SessionScoped bean 注入到无状态 EJB 中?在这种情况下,SessionScoped bean 的值是多少?
- 我的支持 bean 和无状态 EJB 服务是否应该从容器中检索 Principal,而不是 SessionScoped bean?
- 如果是,在设置容器管理的安全性之前,我如何替换模拟主体来处理业务逻辑?
p.s。我是 Java EE 的新手。
技术:
- Java EE 6
- GlassFish 3.1.2.2
- "Backing bean" 例如
javax.enterprise.context.SessionScoped - "Stateless EJB services",例如
javax.ejb.Stateless - "remote client";即一些非网络客户端直接调用无状态 bean(通过 EJB/RMI)
更新:
有关 "remote client" 的更多详细信息。我不确定如何表达这个,因为我是 Java EE 的新手,但是这个 "remote client" 不会通过 HTTP。另一个应用程序,我们称它为应用程序 X,将从客户端接收 XML 消息。我认为他们使用证书对客户端进行身份验证。应用程序 X 会将 XML 转换为 POJO 并直接调用我的无状态 EJB 服务。
在这种情况下,我认为我不应该将 SessionBean 注入 Stateless EJB 服务是正确的,因为调用 EJB 服务时不会有 HTTP 会话by Application X. 我的理解对吗?
感谢您的耐心等待。我知道我在这些事情上的无知。
你的问题不是很清楚。你的问题让我假设了很多。因此,您应该分解问题并提供有关问题的更多详细信息。 首先,您应该说明您使用的 Java EE 版本。无论如何,这里是我的详细信息以及对您的上下文的一些假设。
假设你说的是以下 支持豆:http://docs.oracle.com/javaee/5/tutorial/doc/bnaqm.html
"Stateless beans" == 无状态会话 bean:http://docs.oracle.com/javaee/6/tutorial/doc/gipjg.html#gipin
SessionScoped bean:http://docs.oracle.com/javaee/6/tutorial/doc/gjbbk.html
"remote client interaction": http://docs.oracle.com/javaee/6/tutorial/doc/gipjf.html#girfl
对于主要问题,您应该记住将 Http 会话与有状态会话 bean 分开:
因此,如果您尝试将 Http Session 与有状态会话 bean 结合使用,您必须将 http 会话详细信息提供到一个区域中,http 会话和有状态会话 bean 都可以访问数据并保存对它的引用。
这还假设您的远程 EJB 服务不会首先创建 http 会话。因此,您将无法通过远程 EJB 有效引用 HTTP 会话。
如果您使用的是基于 HTTP 的 "remote client interaction",为什么不在第一次请求时创建 HTTP 会话?
HttpServletRequest.getSession(true)
将确保您始终获得有效会话
如果您正在使用其他一些基于 HTTP 的框架,例如 jax-rs,也可以选择在那里获取 HTTP 会话。
更新 1
Can a SessionScoped bean be injected into a Stateless EJB knowing that the Statelesss EJB will be invoked by remote clients? What is the value of the SessionScoped bean in that case?
您可以将支持 bean 用作 EJB 中的 POJO,但不能用作 http 会话作用域的 bean。如果您需要来自远程 EJB 的它们,则必须在使用之前先初始化它们。意味着,对远程 EJB 调用没有价值。
Instead of a SessionScoped bean, should my backing beans and Stateless EJB services be retrieving the Principal from the container?
这里的问题也不是很清楚。 您可以将容器 (glassfish) 配置为使用手动用户、角色和领域。所以这是您本地的 Security 模拟,您可以从容器中检索 Principal。 http://docs.oracle.com/javaee/6/tutorial/doc/bnbxj.html#bnbxs
独立:我建议您阅读有关 Java EE 的 Oracle 教程。这是相当不错的。花一些钱我会推荐 Java EE 7 Essentials