Что касается ответа Мартина, стоит отметить, что Spring Security в любом случае по умолчанию использует ThreadLocal ( SecurityContextHolder ), поэтому я буду осторожен с его использованием, если вам нужен контекст безопасности для выживания при вызовах EJB,Конечно, это не будет работать через удаленные вызовы;это может быть с локальным, но я не думаю, что есть какие-либо гарантии.
Как правило, при использовании Spring Security я избегаю EJB и использую Spring Framework для подключения среднего уровня POJO и для предоставления услуг, таких как разграничение транзакций черезАОП.В этом случае контекст безопасности становится доступным на всем среднем уровне, поскольку поток остается неизменным на протяжении всего вызова.