如何拆分SFSB Facade？

Question

我在开发基于 EJB 3 技术的应用程序时遇到一些问题。

我想在会话 bean 中使用外观模式来将我的客户端（一个 Web 应用程序）与我的实体 Bean 分离。

我正在使用 SFSB 来管理用户会话。

所以我有一个 FacadeLoginRemote 远程接口，它向客户端公开方法 doLogin()、doLogout() 等... 目前该SFSB还包括一些其他方法，例如getCourse(int id)、getResource(int id)。并非所有用户都能真正获取课程并获取资源，因此外观在将值返回给客户端之前会执行一些检查。

我想拆分 Facade，将方法 getCourse() 和 getResource() 放在一个特殊的类中，但留给 FacadeLoginRemote > 查看用户权限的功能。

如果我制作一些不同的 SLSB，我会将它们暴露给客户。因此，客户端可以直接连接到它们，从而避免来自 FacadeLoginRemote 的检查。

我错了吗？有什么办法可以做到这一点吗？

预先感谢，

安德里亚

Answer 1

第一个建议；如果您正在构建 Web 应用程序，那么更典型的做法是将 Web 层和业务层放在同一个应用程序中。在这种情况下不需要远程处理。您的会话 Bean 将在与 Web 层相同的 JVM 中运行。

这并不是说没有任何合理的理由使用远程接口（有很多），但是阅读你的问题描述，在我看来，使用本地 bean 可能会更好。

或者您所说的 Web 应用程序是由其他人在其服务器上托管的远程应用程序，并且它们是否使用来自您的 EJB bean 的服务？

在Java EE中，身份验证可以在Web模块中完成。特别是如果您使用本地 bean，此身份验证（安全主体）将自动传播到 EJB bean。您可以注释 EJB bean 以要求特定的安全角色。如果用户未经过身份验证，则她不具有该角色，并且服务将被拒绝。

在这种情况下，客户端是否尝试直接连接到具有 getCourse() 等方法的 bean 并不重要。

我确实想知道您是如何在 EJB 中实现 doLogin() 的。我的猜测是您在那里做了一些定制的事情，不幸的是，据我所知，EJB3 没有一种直接的方法来通过特定 bean 上的特定方法进行编程登录。安全性主要是声明性的，并且在访问任何 bean 时客户端必须提供身份验证详细信息。例如，当您从远程 JNDI 请求 Bean 时，您必须提供这些详细信息以及到远程服务器的初始 JNDI 连接。