Glassfish4のJerseyのFilterでセッション情報を取得できなかった件

これ、リソースクラス側でセッションに格納したログイン情報をfilterで見て制御するというのをやろうと試してあきらめてたんですが、単なるバグだったっぽいです。
https://java.net/jira/browse/JERSEY-1960

4.0.1 build4では直ってます。
こういう致命的なのがあるってGF4はまだまだリスキー。

JAX-RS仕様書見てもやっぱりインジェクションできる、が正解っぽいです。
http://download.oracle.com/otndocs/jcp/jaxrs-2_0-fr-eval-spec/index.html
Chapter 10 Environmentのこのあたり

The following sections describe the additional container-managed resources available to a JAXRS root resource class or provider deployed in a variety of environments.


そのおかげというか、SecurityContextの仕組みも結構便利だなと感じることは出来ました。
簡単なAPIくらいならこれで十分かもしれませんがちょっと複雑なシステムになると厳しそうな気はしました。
あと、ロールとかユーザーの設定をxmlに書くのはやっぱりつらい。