33、EJB 安全编程全解析

EJB 安全编程全解析

1. 禁用方法

在某些情况下，你可能希望禁用应用程序的某个方法，使得无论代表客户端的主体被分配了何种安全角色，客户端都无法调用该方法。例如，应用程序通过某个方法在特定时间段内提供折扣，现在折扣期已过，该方法就需要被设为不可访问。

为了列出不能被调用的方法，应用程序组装者可以在部署描述符的 <assembly-descriptor> 部分使用 <exclude-list> 元素，而不是 <method-permission> 元素。示例代码如下：

<exclude-list>
  <description> 
    These methods are off limits. No client should be 
    allowed to call them.
  </description>
  <method>
    <ejb-name>DiscountBean</ejb-name>
    <method-name> getDiscountForMembers </method-name>
    <method-name> getDiscountForNonMembers </method-name>
  </method>
</exclude-list>

如果一个方法同时列在