我正在创建一个Java EE Web服务应用程序。 我不确定如何实现登录:
在Java EE Web服务应用程序中实现登录,将UserPrincipal存储在SessionContext中,并在每次以编程方式调用方法时检索它以使用,这种方式更好吗?
例如,假设客户A购买产品,将UserPrincipal存储在SessionContext中,然后从其中检索userid以在交易中使用,这是良好的编程实践吗?
还是说,每次进行交易时都要传递一个令牌,并将所有已登录用户和发出的令牌存储在表中,以便在完成购买时可以使用令牌来检索用户ID,这样更好?
public class UserSession implements Serializable {
// login-related fields
protected String userName;
protected String userPassword;
protected Object requestInfo;
//session related info
private Object sessionInfo ;
private boolean loggedIn;
/** This method tries to login the user
*/
private login (userName,password){
loggedIn = callDbAndAuthenticateUser(userName,password)
}
将该bean的范围定义为session,并在session上进行更新。
在另一个bean或直接从jsf页面中检查getter isLoggedIn,以知道用户是否已登录。
编辑
当您访问数据库时,可以使用ejb\rmi。这些问题不一定相同/相关,
您可以将凭据传递给远程调用的方法,或者您可以在本地服务器处理授权,并让本地身份验证机制调用远程方法。