应用Spring Security安全框架时,异步操作中安全上下文丢失问题的解决方案

最新推荐文章于 2024-04-22 18:46:17 发布
最新推荐文章于 2024-04-22 18:46:17 发布
阅读量3.9k 收藏 6
点赞数 2
分类专栏: Java Spring Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32734365/article/details/81907813
版权
Java 同时被 3 个专栏收录
9 篇文章 0 订阅
订阅专栏
Spring
4 篇文章 1 订阅
订阅专栏
Spring Security
4 篇文章 0 订阅
订阅专栏

问题描述

笔者最近在开发项目时遇到一个问题,项目应用Spring Security+JWT的安全框架,用户访问时前台会在Header中携带Authorization头,SS对其进行认证并将当前登录的主体信息存储到安全上下文,在当前用户访问的任何地方都可以通过安全上下文获取登录用户的信息(例如用户名、用户手机、用户id等等),但在请求中启用另外的线程执行之后操作的时候,笔者发现异步线程中的安全上下文全部丢失。代码如下:

Constants.EXECUTOR_SERVICE.execute(() -> {
    try {
        SecurityUser user = (SecurityUser) 
            SecurityContextHolder.getContext().getAuthentication();// 1
        // 业务动作
    } catch (Exception e) {
        // 异常信息记录
    } finally {
        // 清除操作
    }
});

1出,获取到的SecurityUser的属性全部为空,在接下来的业务操作中,获取到的登录人信息也全部为空。

解决方案

调试之后,发现安全上下文中的信息全部丢失,回想起之前研究SS时的文档中SecurityContextHolder, SecurityContext和Authentication对象的内容,发现SS的安全上下文默认是存储在ThreadLocal也就是线程本地的,启动其他线程执行的时候,当然就会丢失掉上下文信息。了解到问题所在,就可以修改代码了,笔者将上文中的代码进行如下修改:

SecurityContext securityContext = SecurityContextHolder.getContext();// 1
Constants.EXECUTOR_SERVICE.execute(() -> {
    try {
        SecurityContextHolder.setContext(securityContext);// 2
        SecurityUser user = (SecurityUser) 
            SecurityContextHolder.getContext().getAuthentication();
        // 业务动作
    } catch (Exception e) {
        // 异常信息记录
    } finally {
        // 清除操作
        SecurityContextHolder.clearContext();// 3
    }
});

其中:
1. 在调用者线程中获取安全上下文。
2. 将调用者中的安全上下文设置到当前业务子线程中的ThreadLocal中。
3. 线程执行业务动作完毕后,清除线程的安全上下文信息。

注意,第三步必不可少,不然会导致异步线程的安全上下文传播到线程池中,而如果该线程为线程池的核心线程,下次该线程执行时又没有设置安全上下文,则会获取到错误的登陆者信息(也就是这次设置的安全上下文信息)!

如上改动过后,就能在异步线程中获取安全上下文信息了^_^。

书上有云
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ThradLocal原理解析及SpringSecurity无法在子线程获取上下文信息解决
Simpier的博客
10-07 1681
ThradLocal原理解析及SpringSecurity无法在子线程获取上下文信息解决
使用Spring Security的项目进行异步操作导致安全上下文丢失
u013232219的博客
01-04 1118
问题出现场景:因业务需要高效批量处理,于是起了线程池,异步批量处理,但是处理操作的代码获取用户信息失败 !!! debug发现异步子线程SecurityContextHolder为null,鉴权信息不存在,原因是: 研究SecurityContextHolder, SecurityContext和Authentication对象的内容,发现安全上下文默认是存储在ThreadLocal也就是线程本地的,启动其他线程执行的候,当然就会丢失上下文信息; 于是,想到解决办法:在起异步子线程,手动
SpringSecurity实现认证
最新发布
qq_32954567的博客
04-22 943
SpringSecurity认证
核心组件之SecurityContextHolder
dieqiuxie4160的博客
08-04 634
作用:保留系统当前的安全上下文细节,其就包括当前使用系统的用户的信息。 上下文细节怎么表示? 用SecurityContext对象来表示 每个用户都会有它的上下文,那这个SecurityContext保存在哪里呢? 存储在一个SecurityContextHolder,整个应用就一个SecurityContextHolder。 SecurityCo...
Servlet filter 定义SecurityContext的消失
大数据颜值担当
09-23 136
学习servlet filter和spring security filterChain的关系
ASSecurityError: Error #2000:问题
weixin_34119545的博客
09-25 440
今天碰到一个奇怪的问题: 加载一个包含ActionScript脚本导出的swf动画, 总是报:SecurityError: Error #2000: 没有活动的安全上下文。 继续后,动画加载不了。以前编程序加载动画,都是这么加载的,估计是FlashPlayer 升级到10.2后, 对这个有了限制。后来尝试了半天, 找到解决方法: 就是把动画,放到工作目录的子目录...
Spring Security常用过滤器实例解析
08-24
Spring Security 是一个功能强大且灵活的安全框架,提供了许多实用的过滤器来帮助我们实现身份验证、授权和保护我们的应用程序。下面我们将介绍 15 个常用的 Spring Security 过滤器实例,并对每个过滤器的作用和...
spring-security-for-newbies:Spring Security简介演示
04-07
这个新手演示项目将引导你逐步理解如何在Spring Boot应用设置和使用Spring Security,确保你的应用程序在Kotlin环境安全运行。 总的来说,Spring Security是一个强大而灵活的安全框架,提供了全面的安全解决...
spring5.0.2文官网文档
04-11
文档涵盖了如何进行Spring应用的测试策略,包括模拟对象、测试上下文配置以及端到端测试。 在安全领域,Spring Security是不可或缺的一部分。Spring 5.0.2的文档详细讲解了如何配置和使用Spring Security,包括...
spring框架教程 PPT
11-02
包括Core、Beans、Context和Expression Language四个子模块,其Core和Beans提供了DI功能,Context模块构建在Beans之上,提供了一种上下文环境来管理Bean,Expression Language则支持在运行查询和操作对象。...
Flash AS3 运行错误参考文档
X兄弟--许建辉的博客
04-28 170
As3运行错误文说明 1000 系统内存不足。 系统可用内存无法满足 Flash Player 编译代码的需要。请关闭系统上正在运行的某些应用程序或进程。   1001 未实现方法 _。   1002 Number.toPrecision 的范围是 1 至 21。Number.toFixed 和 Number.toExponential 的范围是 0 至 20。指定的值不在期望范...
【详解】Spring SecuritySecurityContext
dieqiuxie4160的博客
01-20 759
前言   本文主要整理一下SecurityContext的存储方式。 SecurityContext接口 顾名思义,安全上下文。即存储认证授权的相关信息,实际上就是存储"当前用户"账号信息和相关权限。这个接口只有两个方法,Authentication对象的getter、setter。 package org.springframework.security.core.cont...
SpringSecurity的Authentication信息与登录流程
z69183787的专栏
01-19 691
每个请求到达服务端的候,首先从session找出SecurityContext ,为了本次请求之后都能够使用,设置到SecurityContextHolder 。当请求离开的候,SecurityContextHolder 会被清空,且SecurityContext 会被放回session,方便下一个请求来获取。
spring security 验证用户登录以及获取当前登录的用户信息
u013911102的博客
09-10 4655
项目场景: 原本打算只写APP搭建,从零到有的spring security oauth2.0的相关内容,突然心血来潮想分享一下一波源码,既然上一篇分享了spring security的校验逻辑,哪么干脆再分享一下spring secruity是如何获取当前用户是否登录以及获取当前用户的用户信息. 技术详解: 首先在UsernamePasswordAuthenticationFilter认证成功之后,有如下这一段代码 protected void successfulAuthentication(
SpringSecurity基本原理
喝醉的咕咕鸟
03-20 556
SpringSecurity原理图: SpringSecurity存在各种各样的拦截器用于处理不同的业务请求,如UsernamePasswordAuthenticationFilter:用于处理用户名和密码登陆;RememberMeAuthenticationFilter:用于实现记住我功能;OAuth2AuthenticationProcessingFilter:用于实现Sp...
浅谈一下@Async和SpringSecurityContext可能会遇到的问题解决方案
weixin_60223449的博客
05-31 996
在执行一个用较长的批量插入业务的候,我尝试使用@Async异步对业务进行优化,但是却给我报了空指针的错误,定位之后发现此处我是基于SpringSecurity来获取用户的是currentUserService获取到的当前登陆用户为空导致的,但是当前确实是处于登陆状态的然后,我删除了业务方法上的@Async注解,这个方法执行了20s但是没有出现报错由此可以确定是异步导致的错误。
Spring Security核心组件之安全上下文
clyu的博客
01-03 4156
1、安全上下文 Spring Security使用接口SecurityContext抽象建模"安全上下文"这一概念。这里安全上下文SecurityContext指的是当前执行线程使用的最少量的安全信息(其实就是用于代表访问者账号的有关信息)。 public interface SecurityContext extends Serializable { Authentication getAuthentication(); void setAuthentication(Authentication au
Spring Security 4.0入门与全面指南:Java EE应用安全解决方案
Spring Security Reference Guide 是一本详细介绍Spring Security框架文版文档,该框架为Java Enterprise Edition (Java EE)企业级软件应用程序提供了全面的安全解决方案。本书由Ben Alex、Luke Taylor、Rob ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值