2
假设我有一个简单的模型,如“记录”:Java EE 6的授权:限制所有者
@Model
public class Record {
private Principal owner; // presume getter/setters as well
}
然后我想有控制创建和删除记录的简单EJB。为了论证起见,让我们只担心删除:
@EJB
@Named
@Stateless
public class RecordMgr {
@PersistenceContext private EntityManager em;
public void delete(Record r) {
em.remove(r);
}
}
我想限制访问RecordMgr#delete(Record r)
管理员和所有者:换句话说,管理员和谁创建的对象,也只有他们,可以删除人物它。我不明白如何用声明式安全来完成这两项。解决这个问题的正确方法是什么?
是抛出SecurityException正确的方式来实现这个以编程方式? –