Skip to main content

[JIRA] Work started: (SERVLET_SPEC-8) Clarification on run-as for servlet method

  • From: "Shing Wai Chan (JIRA)" <jira-no-reply@...>
  • To: issues@...
  • Subject: [JIRA] Work started: (SERVLET_SPEC-8) Clarification on run-as for servlet method
  • Date: Wed, 4 Jan 2012 21:28:23 +0000 (GMT+00:00)
  • Auto-submitted: auto-generated


     [ 
http://java.net/jira/browse/SERVLET_SPEC-8?page=com.atlassian.jira.plugin.system.issuetabpanels:all-tabpanel
 ]

Work on SERVLET_SPEC-8 started by Shing Wai Chan.

> Clarification on run-as for servlet method
> ------------------------------------------
>
>                 Key: SERVLET_SPEC-8
>                 URL: http://java.net/jira/browse/SERVLET_SPEC-8
>             Project: servlet-spec
>          Issue Type: Bug
>            Reporter: Shing Wai Chan
>            Assignee: Shing Wai Chan
>
> I have discussed with Ronald Monzillo about the run-as in servlet.
> I try to summarize his comments as follows:
> a) In "A.8 Changes Since Servlet 2.3", it states
> Clarification: "run-as" identity must apply to all calls from a servlet 
> including init() and destroy() (12.7)
> There is no such clarification in the section 12.7 or in the security 
> chapter, so the clarification may have been lost, but the appendix clearly 
> notes the intent, and thus he thinks it is required that a specified run-as 
> identity be in effect during init() and destroy().
> b) Note that section 15.3.1 Propagation of Security Identity in EJB Calls, 
> requires that propagation occur whenever an ejb is called by a servlet 
> (without consideration of the Servlet method form which the ejb call is 
> made). That may be going too far, but it would at least support that run-as 
> should be honored within init(); where it is has become common practice to 
> invoke ejbs, and where (unlike the case of calls to ejbs from servlet 
> context listeners), there is a mapping to a specific servlet on which to 
> look for a run-as specification.
> I think we should only propagate the security identity when Servlet#init, 
> Servlet#destroy and Servlet#service are called.
> (So, there will be no security identity propagation for 
> Servlet#getServletConfig, Servlet#getServletInfo.)

-- 
This message is automatically generated by JIRA.
-
If you think it was sent incorrectly contact one of the administrators: 
http://java.net/jira/secure/Administrators.jspa
-
For more information on JIRA, see: http://www.atlassian.com/software/jira

        


[JIRA] Work started: (SERVLET_SPEC-8) Clarification on run-as for servlet method

Shing Wai Chan (JIRA) 01/04/2012
 
 
Close
loading
Please Confirm
Close