我有一个带有一组安全约束的 Web 应用程序。Web 应用程序调用ejb带有注释的模块@RolesAllowed,一切都很好 - 一旦获得授权,用户的凭据就会被传递给ejb并相应地应用安全约束。
但是地狱,我只是不明白为什么我应该将来自网络模块的每个调用包装到ejb一个try-catch块中或创建异常处理程序,寻找javax.ejb.EJBAccessException根本原因并手动生成 403 服务器响应代码,以防用户的凭据不满足特定ejb方法的安全约束。
它不是可以委托给 Java EE Web 容器的吗?我在这里想念什么吗?