在多线程异步方法中 Spring Security 框架的 SecurityContext 无法获取认证信息的原因及解决方案

最新推荐文章于 2024-03-18 15:12:13 发布
最新推荐文章于 2024-03-18 15:12:13 发布
阅读量1.9k 收藏 1
点赞数 1
文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhq199667/article/details/131331380
版权

Spring Security 框架提供了 3 种策略来管理 SecurityContext. 管理该类的对象是 SecurityContextHolder。

  1. MODE_THREALOCAL: 允许每个线程在安全上下文存储自己的详细信息,在每个请求一个线程的 web应用程序中,这是一种常见的方法,因为每个请求都是一个单独的线程。这个策略也是 Spring Security 默认使用的策略。
  2. MODE_INHERITABLETHREADLOCAL: 类似于 MODE_THREALOCAL,但是从名称中可以知道,这是一个可以继承的模式,所以这种模式,可以在使用异步方法时,将安全上下文复制到下一个线程,在运行带有@Async 注解的异步方法时,调用该方法的线程也能继承到该安全上下文。
  3. MODE_GLOBAL: 使引用程序的所欲线程看到相同的安全上下文实例。

由于 Spring Security 默认使用的是 MODE_THREALOCAL 模式,该模式只允许在请求的主线程中获取安全上下文信息,用来获取用户身份信息。但是如果请求的接口中,又调用了异步方法,或者自定义了线程池去执行方法,则会获取不到用户信息。

 Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

authentication 获取的是个null值
所以在使用authentication 的时候要判断是否为空,防止空指针异常

 public String getUsername() {
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        if (authentication == null) {
            return "anonymousUser";
        }
        return authentication.getName();
    }

解决方案:
@Async 注解的异步方法。那么就需要自定义配置,修改程序默认的策略。
1.定义配置也很简单,只需要在配置类中注入一个 bean 即可,覆盖 Spring Security 默认的安全上下文策略即可

@Bean
    public InitializingBean initializingBean() {
        return () -> SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL);
    }

2.在异步类中构造方法中自定义

public xxxx() {
        SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL);
    }

使用如下

@Configuration
@EnableAsync
public class AsyncConfig {
    @Bean
    public InitializingBean initializingBean() {
        return () -> SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL);
    }
 //   public AsyncConfig() {
 //       SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL);
 //   }
    @Bean("discoveryExecutor")
    public TaskExecutor discoveryExecutor() {
        ThreadPoolTaskExecutor executor = new ThreadPoolTaskExecutor();
        // 设置核心线程数
        executor.setCorePoolSize(5);
        // 设置最大线程数
        executor.setMaxPoolSize(10);
        // 设置队列容量
        executor.setQueueCapacity(50);
        // 设置线程活跃时间(秒)
        executor.setKeepAliveSeconds(60);
        // 设置默认线程名称
        executor.setThreadNamePrefix("discovery-");
        // 设置拒绝策略
        executor.setRejectedExecutionHandler(new ThreadPoolExecutor.CallerRunsPolicy());

        // 等待所有任务结束后再关闭线程池
        executor.setWaitForTasksToCompleteOnShutdown(true);
        return executor;
    }
  }
那时·此刻
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 文教程.pdf
12-06
5.5. Spring Security的访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager ...
spring security 参考手册文版
02-01
9.3.1什么是Spring Security认证? 78 9.3.2直接设置SecurityContextHolder内容 80 9.4 Web应用程序的身份验证 81 9.4.1 ExceptionTranslationFilter 82 9.4.2 AuthenticationEntryPoint 82 9.4.3认证机制 82 ...
多线程异步方法Spring Security框架SecurityContext无法获取认证信息原因解决方案
小蜜蜂1010的博客
11-19 3337
解决异步任务执行时,无法获取Spring Security的安全上下文的用户身份信息
关于Spring Security 3获取用户信息的问题
01-26 91
标签:spring security 3标签获取用户信息 2013-01-05 10:405342人阅读评论(0)收藏举报 分类: Spring(25)java(70)前端(7) 目录(?)[+] 原文:http://blog.csdn.net/jjk_02027/article/details/65448...
解决在使用线程池时想要在子线程获取主线程SecurityContext信息的问题
最新发布
QIUZHENZHONG的博客
03-18 454
【代码】解决在使用线程池时想要在子线程获取主线程SecurityContext信息的问题。
SpringBoot 2.X 异步处理@Async 拿不到 SpringSecurity 认证信息问题 解决方案
李虹柏的博客
06-29 4635
问题描述 main方法开启异步处理 service使用异步注解 springSecurity获取认证信息返回null 问题原因 SpringSecurity是线程绑定的 异步处理是重新new一个线程进行业务处理 所以说新线程里是没有认证信息解决方案 需要重写AsyncConfigurer使用SpringSecurity的 装饰线程池这样就可以携带认证信息了 @Configuration public class AsyncConfig extend...
SecurityContextHolder 多线程 获取不到 Authentication
bookc-man
01-21 953
前排占座,待填坑 -Dspring.security.strategy=MODE_INHERITABLETHREADLOCAL 参考: https://cloud.tencent.com/developer/article/1665209
【已解决】Spring Security多线程操作导致上下文丢失
lushixuan12345的博客
04-11 1329
某个功能因涉及的表比较多,想改成多线程异步操作。但是在功能实现过程,问题出来了在登入完成后项目在请求封装了HospitalId在请求域,然后继承项目封装好的BaseService可以在Service层直接调用this.getHospitalId()获取值当开启多线程的时候this.getHospitalId()会报错 空指针异常正常操作是但这样还是会空指针。
使用Spring Security的项目进行异步操作导致安全上下文丢失
u013232219的博客
01-04 1088
问题出现场景:因业务需要高效批量处理,于是起了线程池,异步批量处理,但是处理操作的代码获取用户信息失败 !!! debug时发现异步子线程SecurityContextHolder为null,鉴权信息不存在,原因是: 研究SecurityContextHolder, SecurityContext和Authentication对象的内容,发现安全上下文默认是存储在ThreadLocal也就是线程本地的,启动其他线程执行的时候,当然就会丢失掉上下文信息; 于是,想到解决办法:在起异步子线程时,手动
项目使用线程池调用多线程任务通过springsecurity的api获取当前登录线程用户为空或者错误
weixin_43854800的博客
06-15 1236
我们在调用SecurityContextHolder.getContext()获取对象的时候,如果父线程已经登录,有这个对象,我开启多线程任务,第一次创建线程,是会从父线程拿到登录对象放到子线程。但是由于我用的线程池,其他地方可能已经创建过这个线程,我只是从线程池复用这个线程做多线程任务,那么我子线程调用SecurityContextHolder.getContext()拿到的对象要么为空,要么就是这个线程之前登录过的用户信息,而不是现在父线程登录用户信息。算了,还是稍微解释一下。
SecurityContextHolder.getContext().getAuthentication().getPrincipal()获取不到为null
热门推荐
yiluoAK_47的专栏
11-23 3万+
SecurityContextHolder.getContext().getAuthentication():null 问题就出在这里,在网上搜索了资料,解决了:就是在web.xml文件spring security部分的配置文件放到struts和spring,Hibernate等配置文件前面就好了。
SecurityContextHolder.getContext().getAuthentication()返回null值
nameIsAhh的博客
06-21 1667
SecurityContextHolder维护上下文的本质是通过ThreadLocal,而定时任务不在同一线程里,因此拿不到。同理可知,controller层的uri若未被securityFilterChain()方法过滤器链维护,该uri下的方法里也拿不到用户信息。定时任务执行业务逻辑时,需要用户信息,通过SecurityContextHolder.getContext().getAuthentication()获取用户信息为null,从而报错。
应用Spring Security安全框架时,异步操作安全上下文丢失问题的解决方案
qq_32734365的博客
08-21 3949
问题描述 笔者最近在开发项目时遇到一个问题,项目应用Spring Security+JWT的安全框架,用户访问时前台会在Header携带Authorization头,SS对其进行认证并将当前登录的主体信息存储到安全上下文,在当前用户访问的任何地方都可以通过安全上下文获取登录用户的信息(例如用户名、用户手机、用户id等等),但在请求启用另外的线程执行之后操作的时候,笔者发现异步线程的安全上下...
springboot_springsecurity_jwt_demo:源码主要用于学习SpringBoot + Spring Security JWT基于数据库的自定义用户详细信息服务实现Spring安全认证,内容包括自定义JWT拦截器,在请求到达目标之前对令牌进行校验,在请求超过的时候,解析请求头的令牌,重新解析令牌以获得用户信息,再存入SecurityContextHolder,以及使用BCryptPasswordEncoder方法对密码进行加密与密码匹配,以及AuthenticationEntr
03-23
springboot_springsecurity_jwt_demo
Spring Security-3.0.1文官方文档(翻译版)
03-08
5.5. Spring Security 的访问控制(验证) 5.5.1. 安全和AOP 建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager ...
SpringSecurity 3.0.1.RELEASE.CHM
03-21
5.5. Spring Security的访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager 5.5.2.4...
Spring Security多线程操作导致安全上下文丢失(附CountDownLatch的用法)
琪丶琪的博客
07-09 2680
一、问题描述 之前做项目的时候,遇到的这个问题。 1. 前景描述 该项目应用的是Spring Security + JWT的安全框架,用户在登录时会携带有Authorization信息Spring Security会对其进行认证,并在成功后,将当前登录的用户信息存储到安全上下文,然后在更新或插入数据库数据时,会从安全上下文取出当前登录用户信息,作为这条数据的最后更新人。 2. 问题出现 某个功能因涉及的表比较多,数据量比较大,导致效率很慢,所以决定将其改为异步操作,使用多线程来实现。但是在功能实现完后,
Spring Security代码获取认证之后用户数据
Leon_Jinhai_Sun的博客
05-05 445
@RestController public class HelloController { @RequestMapping("/hello") public String hello() { Authentication authentication = SecurityContextHolder .getContext().getAuthentication(); User principal = (User) authentication.ge.
SecurityContextHolder多线程无法获取登录信息原因
杨海吉
08-23 5853
Spring Security ,我就想从子线程获取用户登录信息,怎么办? 大家知道在 Spring Security 想要获取登录用户信息,不能在子线程获取,只能在当前线程获取,其一个重要的原因就是 SecurityContextHolder 默认将用户信息保存在 ThreadLocal 。 但是实际上 SecurityContextHolder 一共定义了三种存储策略: public class SecurityContextHolder { public static final S
Spring Security怎么获取登录信息
07-29
Spring Security,你可以使用`SecurityContextHolder`类的`getContext()`方法获取当前的`SecurityContext`对象。通过`SecurityContext`对象,你可以进一步获取当前用户的认证信息。 以下是获取登录信息的示例代码: ```java Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); if (authentication != null && authentication.isAuthenticated()) { Object principal = authentication.getPrincipal(); if (principal instanceof UserDetails) { UserDetails userDetails = (UserDetails) principal; // 获取用户的用户名 String username = userDetails.getUsername(); // 获取用户的权限(角色) Collection<? extends GrantedAuthority> authorities = userDetails.getAuthorities(); // 其他操作... } } ``` 在上面的代码,首先通过`SecurityContextHolder.getContext().getAuthentication()`获取当前的`Authentication`对象。然后,你可以检查`authentication`是否为非空并且已经通过身份验证。 如果通过身份验证,你可以通过`authentication.getPrincipal()`获取到用户的主体对象。在大多数情况下,主体对象将是一个实现了`UserDetails`接口的类,它包含了用户的详细信息,如用户名、密码、权限等。 你可以根据需要对`principal`进行类型转换,并使用相应的方法获取用户的用户名、权限等信息。 需要注意的是,在未经身份验证时,`authentication`可能为`null`或包含一个特殊的未经身份验证的实现类,具体取决于你的配置和登录状态。因此,在使用时需要进行适当的判断和处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值