java - 如果我们将 SessionScoped bean 注入(inject)到 Stateless bean 中，如果没有 HTTP session 会发生什么？

Question

我们的应用程序由与支持 bean 和无状态 EJB 服务交互的网页组成，但还有一个与无状态 EJB 服务交互的远程客户端。

许多服务查询数据库，然后根据当前用户/调用者过滤结果集(例如，用户只能查看某些记录类型)；也就是说，他们使用程序化而非声明式安全。

在 web 端，我的直觉是将当前登录的用户存储在 SessionBean 中，但我希望无状态 EJB 服务根据当前登录的用户过滤结果集，以便过滤也适用在远程客户端调用期间。我可以将 SessionBean 注入(inject)到无状态 EJB 服务中，但我认为 SessionBean 使用 HTTP session ，并且由于在远程客户端调用期间没有 HTTP session ，所以我看不出它如何工作。

我感觉到我的方法是错误的，我应该从容器中检索“主体”；然而，由于我们应用程序的开发生命周期，容器管理的安全性尚未设置，但我仍然负责现在而不是以后实现负责过滤记录的业务逻辑。

我的相关问题:

1. 在知道无状态 EJB 将被远程客户端调用的情况下，能否将 SessionScoped bean 注入(inject)到无状态 EJB 中？在这种情况下，SessionScoped bean 的值(value)是多少？
2. 我的支持 bean 和无状态 EJB 服务是否应该从容器中检索主体，而不是 SessionScoped bean？
   • 如果是，在设置容器管理的安全性之前，我如何替代模拟主体来处理业务逻辑？

附注我是 Java EE 新手。

技术:

• Java EE 6
• 玻璃鱼 3.1.2.2
• “支持 bean”，例如javax.enterprise.context.SessionScoped
• “无状态 EJB 服务”，例如javax.ejb.Stateless
• “远程客户端”；即一些非网络客户端直接调用无状态 bean(通过 EJB/RMI)

更新:

关于“远程客户端”的更多细节。我不确定如何表达这个，因为我是 Java EE 的新手，但这个“远程客户端”不会通过 HTTP。另一个应用程序，我们称它为应用程序 X，将从客户端接收 XML 消息。我认为他们使用证书对客户端进行身份验证。应用程序 X 会将 XML 转换为 POJO 并直接调用我的无状态 EJB 服务。

在这种情况下，我认为我不应该将 SessionBean 注入(inject)到 Stateless EJB 服务中是正确的，因为当EJB 服务由应用程序 X 调用。我的理解是否正确？

感谢您的耐心等待。我知道我在这些事情上的无知。

Answer 1

你的问题不是很清楚。你的问题让我假设了很多。因此，您应该分解问题并提供有关问题的更多详细信息。首先，您应该说明您使用的是哪个 Java EE 版本。无论如何，这里是我的详细信息以及对您的上下文的一些假设。

假设您正在谈论以下内容支持 bean :http://docs.oracle.com/javaee/5/tutorial/doc/bnaqm.html

“无状态 bean”== 无状态 session bean:http://docs.oracle.com/javaee/6/tutorial/doc/gipjg.html#gipin

SessionScoped bean:http://docs.oracle.com/javaee/6/tutorial/doc/gjbbk.html

“远程客户端交互”:http://docs.oracle.com/javaee/6/tutorial/doc/gipjf.html#girfl

对于主要问题，您应该记住将 Http session 与有状态 session bean 分开:Stateful Session Bean and HTTP Session

因此，如果您尝试将 Http Session 与有状态 session bean 结合使用，您必须将 http session 详细信息提供到一个区域，在该区域中 http session 和有状态 session bean 都可以访问数据并保存对它的引用。

这还假设您的远程 EJB 服务不会首先创建 http session 。因此，您不会通过远程 EJB 获得对 HTTP session 的有效引用。

如果您使用的是基于 HTTP 的“远程客户端交互”，为什么不在第一个请求时创建一个 HTTP session ？

HttpServletRequest.getSession(true)

将确保您始终获得有效 session

如果您正在使用其他一些基于 HTTP 的框架，例如 jax-rs，也可以选择在那里获取 HTTP session 。

更新 1

Can a SessionScoped bean be injected into a Stateless EJB knowing that the Statelesss EJB will be invoked by remote clients? What is the value of the SessionScoped bean in that case?

您可以将支持 bean 用作 EJB 中的 POJO，但不能用作 http session 范围的 bean。如果您需要来自远程 EJB 的它们，则必须在使用之前先初始化它们。意味着，对远程 EJB 调用没有值(value)。

Instead of a SessionScoped bean, should my backing beans and Stateless EJB services be retrieving the Principal from the container?

这里的问题也不是很清楚。您可以将容器 (glassfish) 配置为使用手动用户、角色和领域。所以这是您本地的 Security 模拟，您可以从容器中检索 Principal。 http://docs.oracle.com/javaee/6/tutorial/doc/bnbxj.html#bnbxs

独立:我建议您阅读有关 Java EE 的 Oracle 教程。这是相当不错的。花一些钱我会推荐 Java EE 7 Essentials