软件开发中的安全策略管理应该如何进行：安全角色引用。安全角色引用是应用程序提供者用来引用安全角色的标识。应用程序提供者可以用安全角色引用来为安全角色分配资源访问的权限，也可以在安全相关的程序代码中引用安全角色。

被传播的调用者身份标识。在J2EE 1.3中可以选择用传播调用者标识作为web组件和ejb组件调用者的标识来进行验证。在这种方式下，整个ejb组件的调用链中interface EJBContext的方法getCallerPrincipal返回相同的主体名。如果调用链中的第一个ejb是被jsp/servlet调用的，interface EJBContext的方法getCallerPrincipal返回的主体名应与interface HttpServletRequest的方法getUserPrincipal的返回值相同。要注意的是在调用链中传递的是用户的标识，而不是凭证，这一点非常重要，因为在调用链的每个节点上用户可能使用不同的安全属性。