写了一个业务EJB，目前没有任何安全控制，就是说谁都可以获取EJB容器中的对象，新建、修改、删除ENTITY，或者调用SESSION Bean的方法；EJB提供了一套安全机制，不过好像复杂了一些。我想是否可以配置一个用户（应用服务器中），在程序获取Context时，必须包括认证信息，通过才可以使用EJB，（目前我使用的是WebLogic），这样可行吗？如不行，正常EJB的安全又是如何保证的呢？因为人家一旦知道你的EJB接口的话，可以在任意一台机上运行Java程序，调用你写的EJB中的方法。

你用应用服务器里面的安全设置就可以。
添加安全组，然后添加这个组所能访问的ejb组件或方法。
或者在 ejb-jar.xml 里面指定安全指派。