我必须在哪里放置@DeclareRoles？

我基本上了解@DeclareRoles和@RolesAllowed的功能，但是我不确定在哪里正确添加@DeclareRoles。我用一个vaadin应用程序进行了测试，该应用程序在玻璃鱼4中使用了ejb会话bean和cdi。

• [no类上的[@DeclareRoles：显然没有任何效果。 HttpServletRequest.isUserInRole()和SessionContext.isCallerInRole()始终返回false。 @RolesAllowed始终拒绝访问。@DeclareRoles在Servlet上：@RolesAllowed和HttpServletRequest.isUserInRole()正常工作。 SessionContext.isCallerInRole()总是返回false。
• @DeclareRoles在会话bean上：@RolesAllowed，HttpServletRequest.isUserInRole()和SessionContext.isCallerInRole()正常工作。即使在与SessionContext.isCallerInRole()
的会话bean之外的会话bean中调用了@DeclareRoles
• 我的问题是：

放置@DeclareRoles的正确位置在哪里？
1. 可以只设置一次，还是应该为每个使用SessionContext.isCallerInRole()或@RolesAllowed的bean注释？