业务层如何避免session相关参数？

Question

我有一个 Java EE 应用程序（简单的 Web GUI、大型 EJB 3 业务层、JPA），其大部分功能取决于当前登录的用户。

因此，EJB 中充斥着无处不在的 String userName 参数。您几乎找不到没有它的重要方法，并且它一直下降到最基本的 EJB。有时它会由其他与会话相关的参数进行补充，例如用户的区域设置。

结果，参数列表不断增长，代码清晰度也受到影响。这可能是一个常见问题，如何避免呢？将更多代码推送到 GUI 客户端似乎是更疯狂的想法。

Answer 1

Java EE 支持跨各个层的安全上下文传播。例如，检查 EJBContext 上与身份验证/授权相关的各种方法，例如 getCallerPrincipal()、isCallerInRole()。我建议您阅读以下两篇文章

1. 端到端安全性高级简介
2. 安全性简介在 Java EE 平台中