3.6 部署要求

所有 Jakarta EE 产品必须实现所有纳入的组件规范中描述的访问控制语义，例如 Jakarta Enterprise Beans、Jakarta Pages 以及 Jakarta Servlet 规范；提供一种机制，将元数据注解或部署描述符中指定的安全角色，映射到 Jakarta EE 产品对外暴露的实际角色；并支持 Jakarta Security 规范中定义的从用户组到角色的默认映射。

尽管大多数 Jakarta EE 产品允许部署者自定义角色映射，并修改角色与方法的权限分配，但所有 Jakarta EE 产品都必须支持：严格按照应用与组件的元数据注解或部署描述符中指定的映射和分配规则来完成部署。

如 Jakarta Enterprise Beans 规范与 Servlet 规范中所述，Jakarta EE 产品必须提供一个或多个部署工具，能够将元数据注解或部署描述符中的安全角色，分配给授权时用于判定角色归属的实体。

应用开发者需要（在应用的元数据注解或部署描述符中）指定应用的安全需求——这类应用中部分组件既可被已认证用户访问，也可被未认证用户访问（详见前文未认证用户章节）。应用以安全角色的形式表述安全需求，部署者在部署时将这些角色映射到运行环境中的用户（主体）。应用可以定义一个代表所有已认证与未认证用户的角色，并将部分企业 Bean 方法配置为对该角色开放。

为支持此类使用场景，本规范要求：必须支持将应用定义的安全角色，映射到与认证状态无关的全体应用主体集合。