在多线程异步方法中 Spring Security 框架的 SecurityContext 获取认证信息错误原因及解决方案

已于 2024-06-05 13:46:01 修改
阅读量1.1k 收藏 12
点赞数 23
分类专栏: Java 文章标签: spring java 后端
于 2024-06-05 13:45:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhq199667/article/details/139468476
版权

在多线程异步方法中 Spring Security 框架的 SecurityContext 无法获取认证信息的原因及解决方案

一、问题

基于上面文章,可以获取到认证信息了,但是我在开发环境中,在多线程异步的场景下,有时获取的用户信息不是我所需要的,是错误的。
经查询:我们在设置策略模式为 MODE_INHERITABLETHREADLOCAL。它的实例化的类InheritableThreadLocalSecurityContextHolderStrategy
在这里插入图片描述
在这里插入图片描述
可以看出我们一开始调用的SecurityContextHolder.getContext () 方法,就是调对应策略里的 getContext() 方法,不同对象里 ContextHolder 就是不同的 ThreadLocal,我们获取的 SecurityContext 对象就是从 ThreadLocal 里拿出来的。
基于 InheritableThreadLocal 线程的特点是具有继承特性,每次在开启新线程时,会把主线程里的 InheritableThreadLocal 对象复制到子线程中。
当在父线程中已经登录并且有一个登录对象时,开启多线程任务时,如果第一次创建线程,会从父线程获取登录对象并传递给子线程。但由于使用了线程池,其他地方可能已经创建过这个线程,只是从线程池中复用这个线程执行多线程任务。这时,子线程调用SecurityContextHolder.getContext()时,可能就会出现两种情况:要么得到的是空对象,要么得的到是之前登录过的用户信息,而不是当前父线程登录的用户信息。

二、解决办法

使用DelegatingSecurityContextAsyncTaskExecutor

DelegatingSecurityContextAsyncTaskExecutor是 Spring Security中的一个类,用于在异步任务中传递安全上下文信息。
当你在Spring应用中使用异步方法,比如使用@Async注解的方法时,默认情况下,线程会从一个线程池中被创建并执行任务。然而,由于这个新线程并不是由Spring管理的,所以它不会自动地拥有与主线程相同的安全上下文。
DelegatingSecurityContextAsyncTaskExecutor的主要目的是解决这个问题。它会为异步任务创建一个SecurityContextHolder,使得
异步线程能够持有和主线程相同的安全上下文信息。
使用如下:

@Configuration
@EnableAsync
public class AsyncConfig {

    @Resource
    private Environment environment;

    @Bean
    public InitializingBean initializingBean() {
        return () -> SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL);
    }

    @Bean("******")
    public TaskExecutor discoveryExecutor() {
        ThreadPoolTaskExecutor executor = new ThreadPoolTaskExecutor()
        // 设置核心线程数
        executor.setCorePoolSize(5);
        // 设置最大线程数
        executor.setMaxPoolSize(10);
        // 设置队列容量
        executor.setQueueCapacity(50);
        // 设置线程活跃时间(秒)
        executor.setKeepAliveSeconds(60);
        // 设置默认线程名称
        executor.setThreadNamePrefix("********");
        // 设置拒绝策略    当前策略:AbortPolicy 超出执行队列会被舍弃并抛出异常
        executor.setRejectedExecutionHandler(new ThreadPoolExecutor.AbortPolicy());
        // 等待所有任务结束后再关闭线程池
        executor.setWaitForTasksToCompleteOnShutdown(true);
        // 初始化
        executor.initialize();
        return new DelegatingSecurityContextAsyncTaskExecutor(executor);
    }
}

这样,所有通过这个线程池执行的异步任务都将拥有与主线程相同的安全上下文信息。

那时·此刻
关注
专栏目录
SpringSecurity6 | 核心过滤器
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器,了解SpringSecurity都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
Spring Security获取用户信息异常,多线程获取用户报错解决方式
qingpark的博客
04-20 747
MODE_INHERITABLETHREADLOCAL工作模式,其存储载体为InheritableThreadLocal,InheritableThreadLocal继承ThreadLocal,多了一个特性,就是在创建子进程的时候,会自动的将父进程的数据复制到子进程去,实现了子进程能够获取父进程数据的功能。所以,如果使用的是Spring Security 5.0及以上版本,且需要在异步线程获取用户信息的时候,可以考虑修改SecurityContextHolder的默认策略。
解决SpringSecurity上下文自动设置
吴国凯的博客
04-21 1794
问题: 我们用用异步线程的时候不能把SpringSecurity当前用户信息context带到子线程。 为了方便,我们需要进行信息透传 解决方法 需要加个参数 -Dspring.security.strategy=MODE_INHERITABLETHREADLOCAL 或者增加代码块 static { System.setProperty(SYSTEM_PROPERTY, MODE_INHERITABLETHREADLOCAL); } .
下面哪些是Security Context的设置项
最新发布
mischen520的博客
08-15 451
runAsUser:‌这个设置项用于指定容器默认用户的UID,‌确保容器以特定的用户身份运行,‌从而控制容器内的文件访问权限。sysctls:‌允许在容器修改特定的系统调用参数,‌尽管只有一小部分的sysctls可以在每个容器的基础上进行修改,‌但这个设置项提供了对容器内部系统配置的精细控制。‌设置为false将不允许容器内的进程提升权限,‌增加了安全性。这些设置项共同构成了Security Context,‌旨在提供对容器运行环境的细粒度安全控制,‌确保容器化应用的安全性和隔离性。
【详解】Spring SecuritySecurityContext
dieqiuxie4160的博客
01-20 788
前言   本文主要整理一下SecurityContext的存储方式。 SecurityContext接口 顾名思义,安全上下文。即存储认证授权的相关信息,实际上就是存储"当前用户"账号信息和相关权限。这个接口只有两个方法,Authentication对象的getter、setter。 package org.springframework.security.core.cont...
多线程异步方法Spring Security框架SecurityContext无法获取认证信息原因解决方案
小蜜蜂1010的博客
11-19 3740
解决异步任务执行时,无法获取Spring Security的安全上下文的用户身份信息
SpringBoot2 异步处理@Async 拿不到 SpringSecurity 认证信息问题
普通人一枚
10-12 483
main方法开启异步处理使用异步注解springSecurity 获取认证信息返回null,无法获取相关信息。问题原因SpringSecurity 是线程绑定的 异步处理是重新new一个线程进行业务处理所以说 新线程里是没有 认证信息的。
多线程异步方法 Spring Security 框架SecurityContext 无法获取认证信息原因解决方案
lhq199667的博客
06-21 2717
由于 Spring Security 默认使用的是 MODE_THREALOCAL 模式,该模式只允许在请求的主线程获取安全上下文信息,用来获取用户身份信息。但是如果请求的接口,又调用了异步方法,或者自定义了线程池去执行方法,则会获取不到用户信息。1.定义配置也很简单,只需要在配置类注入一个 bean 即可,覆盖 Spring Security 默认的安全上下文策略即可。所以在使用authentication 的时候要判断是否为空,防止空指针异常。那么就需要自定义配置,修改程序默认的策略。
Spring Security-SecurityContext
kaikai8552的专栏
02-24 6730
  Spring Security认证成功后,将票据存放在SecurityContextSecurityContext是一个接口,从接口的方法可以看出,用户可以通过SecurityContext存放和读取票据信息(Authentication)。      SecurityContext又存放在SecurityContextHolder。SecurityContextHolder定义了Sec
Spring Security异步方法调用认证传递问题
carbuser_xl的博客
07-24 777
Spring Security异步方法调用认证传递问题问题描述解决方案第一种方法第二种方法通过设置系统变量的方法本人不会实现,请知道的大牛指教一下,谢谢! 问题描述 Spring支持异步方法调用,若在异步方法,需要获取之前已经通过的认证信息,不做特殊处理的情况下是无法获取Authentication对象的,比如我下面的代码,因为authentication为null,直接抛出了空指针异常: @S...
SpringBoot Spring Security 核心组件 认证流程 用户权限信息获取详细讲解
lyl54545的博客
03-22 2294
前言 Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户和 Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring Security 进行 Authenticate 和 Authoration 验证 核心组件 SecurityContextHolder SecurityContextHolder它持有的是安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,.
Spring security配置详解
qq_22162093的博客
12-21 7348
一直对项目里的安全配置比较陌生,这次总结一下项目里的那些关于security配置 1、 核心组件 这一节主要介绍一些在 Spring Security 常见且核心的 Java 类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder 用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限… 这些都被保存在 Security
SpringSecurity登录流程详解
weixin_43132031的博客
08-04 4912
本文重点解析了SpringSecurity在登录过程的详细流程,以及整体总结
SpringsecuritySecurityContext
weixin_34226706的博客
09-07 1008
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity基础:SecurityContext对象
Leon_Jinhai_Sun的博客
09-17 1206
SpringSecurity基础:SecurityContext对象
SpringBoot 2.X 异步处理@Async 拿不到 SpringSecurity 认证信息问题 解决方案
李虹柏的博客
06-29 4809
问题描述 main方法开启异步处理 service使用异步注解 springSecurity获取认证信息返回null 问题原因 SpringSecurity是线程绑定的 异步处理是重新new一个线程进行业务处理 所以说新线程里是没有认证信息解决方案 需要重写AsyncConfigurer使用SpringSecurity的 装饰线程池这样就可以携带认证信息了 @Configuration public class AsyncConfig extend...
SecurityContextHolder多线程无法获取登录信息原因
杨海吉
08-23 6322
Spring Security ,我就想从子线程获取用户登录信息,怎么办? 大家知道在 Spring Security 想要获取登录用户信息,不能在子线程获取,只能在当前线程获取,其一个重要的原因就是 SecurityContextHolder 默认将用户信息保存在 ThreadLocal 。 但是实际上 SecurityContextHolder 一共定义了三种存储策略: public class SecurityContextHolder { public static final S
spring securitycontext稍微说说
擀面皮
08-17 719
securitycontext用来存放一些安全信息,如用户的登录信息等,今天看到了一点,记一下。 1.首先要在web.xml配置一个applicationContext-security.xml文件,这个文件配置过滤器,表示什么时候使用securitycontext,这里表示登录时进行验证 2.当请求进来之后,通过层层过滤,最后到达successfulAuthenticat
SecurityContext
weixin_51992178的博客
10-28 1702
SecurityContext的生命周期:请求到来时从Session取出,放入SecurityContextHolder,请求结束时从SecurityContextHolder取出,并放到Session,实际上就是依靠Session来存储的,一旦会话过期验证信息也跟着消失。SecurityContextHolder的存储策略默认是`MODE_THREADLOCAL`,它是基于ThreadLocal实现的,`getContext()`方法本质上调用的是对应的存储策略实现的方法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值