@RunAs用于@WebService EJB

Question

我有一个匿名的WebService EJB - webservice调用工作正常。

现在我希望WebService将RunAs作为特定的SecurityRole。

在Webservice我有以下注释：

@Stateless
@WebService
@DeclareRoles({ "LoggedUser" })
@SecurityDomain("my-jboss-real")
@RunAs("LoggedUser")
public class MyWebService { ...

现在我想从@RolesAllowed({"LoggedUser"})服务方法访问带有@RolesAllowed({"LoggedUser"})的@EJB ，我得到：

ERROR [org.jboss.aspects.tx.TxPolicy] javax.ejb.EJBTransactionRolledbackException: javax.ejb.EJBAccessException.message: 'Caller unauthorized'
WARN  [org.jboss.ejb3.stateless.StatelessBeanContext] EJBTHREE-1337: do not get WebServiceContext property from stateless bean context, it should already have been injected
ERROR [org.jboss.ws.core.jaxws.SOAPFaultHelperJAXWS] SOAP request exception
javax.ejb.EJBTransactionRolledbackException: javax.ejb.EJBAccessException.message: 'Caller unauthorized'
        at org.jboss.ejb3.tx.Ejb3TxPolicy.handleInCallerTx(Ejb3TxPolicy.java:115)

我正在使用JBoss 5.1GA

这是@RunAs的正确用法还是有另一种方法可以做到这一点。

编辑

添加：

@Resource
private WebServiceContext wsCtx;
@Resource
private EJBContext ejbCtx;

myWebServiceMethod(){
     ...
     System.out.println("EJBCtx: " + ejbCtx.getCallerPrincipal());
     System.out.println("EJBCtx: " + ejbCtx.isCallerInRole("LoggedUser"));
     System.out.println("WebContext: " + wsCtx.getUserPrincipal());
     System.out.println("WebContext: " + wsCtx.isUserInRole("LoggedUser"));
     ...

此输出：

EJBCtx: anonymous
EJBCtx: false
WebContext: anonymous
WebContext: false

Answer 1

除了最基本的用例之外，JBoss AS 5和尤其是6在安全上下文和@RunAs方面都非常缺陷。

在AS 7中修复了大量这些错误。您可以尝试在那里设置测试用例，看看是否遇到了同样的问题。

要意识到@RunAs不适用于在应用了注释的bean中运行的代码。 相反，它仅适用于从该bean调用的bean。 您可以将其视为“传出/传出”角色。

更麻烦的是Java EE有一个严重的遗漏，那就是没有办法定义RunAs 身份 。 当您为“未经身份验证的”身份定义RunAs角色时，某些服务器的反应不佳。 JBoss具有RunAs标识的专有注释。 如果这会让您更进一步，您可能想尝试一下。