Spring Security中,多线程操作导致安全上下文丢失(附CountDownLatch的用法)

最新推荐文章于 2024-07-17 23:44:26 发布
最新推荐文章于 2024-07-17 23:44:26 发布
阅读量2.8k 收藏 16
点赞数 4
分类专栏: 多线程 Spring Security 文章标签: 多线程 java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37253891/article/details/118608126
版权

一、问题描述

之前做项目的时候,遇到的这个问题。

1. 前景描述

该项目应用的是Spring Security + JWT的安全框架,用户在登录时会携带有Authorization信息,Spring Security会对其进行认证,并在成功后,将当前登录的用户信息存储到安全上下文,然后在更新或插入数据库数据时,会从安全上下文中取出当前登录用户信息,作为这条数据的最后更新人。

2. 问题出现

某个功能因涉及的表比较多,数据量比较大,导致效率很慢,所以决定将其改为异步操作,使用多线程来实现。但是在功能实现完后,问题出来了。。。
最后更新人获取错误。
明明是我操作的,但是最后更新人却是另外一个人。

二、解决方案

通过上网搜索得知,在主线程中,启用另外的线程执行之后操作的时候,异步线程中的安全上下文会丢失。因为Spring Security的安全上下文默认是存储在ThreadLocal(也就是线程本地)的,启动其他线程执行的时候,就会丢失掉上下文信息。
知道了问题所在,接下来就简单了,既然在异步线程中,安全上下文会丢失,那么我只要把主线程中的安全上下文带到异步线程中去,不就好了嘛。

    // 1. 在主线程中获取安全上下文。
    SecurityContext securityContext = SecurityContextHolder.getContext();
    threadTaskExecutor.execute(() -> {
		try {
			// 2. 将主线程中的安全上下文设置到子线程中的ThreadLocal中。
        	SecurityContextHolder.setContext(securityContext);
        	// 业务代码
	    } catch (Exception e) {
	        // 异常信息捕获
	    } finally {
	        // 清除操作
	        // 3. 将调用者中的安全上下文设置到当前业务子线程中的ThreadLocal中。
	        SecurityContextHolder.clearContext();
	    }
    });

这里有一点需要注意的是,第三步的清除操作必不可少,不然会导致异步线程的安全上下文传播到线程池中,而如果该线程为线程池的核心线程,下次该线程执行时又没有设置安全上下文,则会获取到错误的登陆者信息(也就是这次设置的安全上下文信息)。

三、附加

1. 线程池

附上一个简单的线程池的配置类吧:

@Configuration
public class ThreadPoolConfig {
    @Bean
    public ThreadPoolTaskExecutor threadTaskExecutor() {
        ThreadPoolTaskExecutor executor = new ThreadPoolTaskExecutor();
        executor.setCorePoolSize(10);
        executor.setKeepAliveSeconds(200);
        executor.setMaxPoolSize(20);
        executor.setQueueCapacity(20);
        executor.setRejectedExecutionHandler(new ThreadPoolExecutor.CallerRunsPolicy());
        return executor;
    }
}

然后只需要在用到的地方,注入一下就可以了:

	@Autowired
    private ThreadPoolTaskExecutor threadTaskExecutor;

然后就在需要开线程的地方,调用其execute或者submit即可:

threadTaskExecutor.execute(() -> {
	//业务代码
});

2. CountDownLatch

如果后续操作需要基于所有的线程执行完,那么可以使用CountDownLatch。

1. CountDownLatch概念

CountDownLatch是一个同步工具类,用来协调多个线程之间的同步,或者说起到线程之间的通信(而不是用作互斥的作用)。
CountDownLatch能够使一个线程在等待另外一些线程完成各自工作之后,再继续执行。使用一个计数器进行实现。计数器初始值为线程的数量。当每一个线程完成自己任务后,计数器的值就会减一。当计数器的值为0时,表示所有的线程都已经完成了任务,然后在CountDownLatch上等待的线程就可以恢复执行任务。

2. CountDownLatch用法

某一线程在开始运行前等待n个线程执行完毕。

  1. 将CountDownLatch的计数器初始化为n—> new CountDownLatch(n)
  2. 每当一个任务线程执行完毕,就将计数器减1—>countdownlatch.countDown()
  3. 当计数器的值变为0时,在CountDownLatch上 await() 的线程就会被唤醒
// 将CountDownLatch的计数器初始化
final CountDownLatch latch = new CountDownLatch(projectIds.size());
projectIds.forEach(it -> {
	threadTaskExecutor.execute(() -> {
		try {
        	// 业务代码
	    } catch (Exception e) {
	        // 异常信息捕获
	    } finally {
	    	// 将计数器减1
	        latch.countDown();
	    }
	});
});
// 等待计算器的值变为0
latch.await();
// 基于所有线程执行完后的代码
琪丶琪
关注
  • 4
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
【并发编程系列7】CountDownLatchspringboot书籍推荐零基础
m0_64867896的博客
12-14 335
共享模式和独占模式在对象表现出来的区别我们可以进入Node类看一下: 所以独占和共享模式构建的节点唯一区别就是共享节点的nextWaiter不为空(另外还有Condition队列的nextWaiter也不为空)。 这个方法前面的一些逻辑AQS分析过来,这里就不重复分析,这时候我们进来r>=0肯定是不成立的,所以会走到后面的线程挂起,挂起之后线程就阻塞了,那么阻塞了就一定需要被唤醒,所以我们猜测上文示例countDown()不但是将计数器减1,肯定还会有判断当减少到0的时候需要唤醒线程
JavaCountDownLatch进行多线程同步详解及实例代码
08-31
JavaCountDownLatch进行多线程同步详解及实例代码 CountDownLatchJava的一种多线程同步辅助类,主要用来同步多个任务的执行。它允许一个或多个线程等待,直到一组正在其他线程执行的操作完成。下面是对...
应用Spring Security安全框架时,异步操作安全上下文丢失问题的解决方案
qq_32734365的博客
08-21 4016
问题描述 笔者最近在开发项目时遇到一个问题,项目应用Spring Security+JWT的安全框架,用户访问时前台会在Header携带Authorization头,SS对其进行认证并将当前登录的主体信息存储到安全上下文,在当前用户访问的任何地方都可以通过安全上下文获取登录用户的信息(例如用户名、用户手机、用户id等等),但在请求启用另外的线程执行之后操作的时候,笔者发现异步线程安全上下...
Spring Security安全异常处理
最新发布
Evan_L的博客
07-17 1217
Spring Security,特指对于安全异常的处理。我们知道Spring Security主要是基于过滤器来实现的,因此每个安全过滤器都可能发生安全异常,所以处理逻辑会被散落在各个过滤器Spring自然是不能忍受这种设计,于是就有了专门的安全异常处理。注:下文我们都用异常处理来代指安全异常处理。异常处理体系包括异常定义分两类 —— 认证异常、访问拒绝异常(鉴权异常)
【已解决】Spring Security多线程操作导致上下文丢失
lushixuan12345的博客
04-11 1467
某个功能因涉及的表比较多,想改成多线程异步操作。但是在功能实现过程,问题出来了在登入完成后项目在请求封装了HospitalId在请求域,然后继承项目封装好的BaseService可以在Service层直接调用this.getHospitalId()获取值当开启多线程的时候this.getHospitalId()会报错 空指针异常正常操作是但这样还是会空指针。
使用Spring Security的项目进行异步操作导致安全上下文丢失
u013232219的博客
01-04 1141
问题出现场景:因业务需要高效批量处理,于是起了线程池,异步批量处理,但是处理操作的代码获取用户信息失败 !!! debug时发现异步子线程SecurityContextHolder为null,鉴权信息不存在,原因是: 研究SecurityContextHolder, SecurityContext和Authentication对象的内容,发现安全上下文默认是存储在ThreadLocal也就是线程本地的,启动其他线程执行的时候,当然就会丢失上下文信息; 于是,想到解决办法:在起异步子线程时,手动
解决Java异步场景下丢失线程上下文的方法
沛哥儿的专栏
05-31 2427
Nepxion Discovery Agent 号称能解决一切JAVA异步场景下上下文丢失的情况。 Discovery【探索】微服务框架,基于Spring Cloud & Spring Cloud Alibaba,Discovery服务注册发现、Ribbon负载均衡、Feign和RestTemplate调用、Spring Cloud Gateway和Zuul过滤等组件全方位增强的企业级微服务开源解决方案,更贴近企业级需求,更具有企业级的插件引入、开箱即用特征
Spring Security代码获取认证之后用户数据
Leon_Jinhai_Sun的博客
05-05 465
@RestController public class HelloController { @RequestMapping("/hello") public String hello() { Authentication authentication = SecurityContextHolder .getContext().getAuthentication(); User principal = (User) authentication.ge.
java使用CountDownLatch等待多线程全部执行完成
08-26
CountDownLatchJava 的一个同步工具类,允许一个或多个线程等待其他线程完成操作。它的应用场景非常广泛,例如在处理大量数据时,可以使用多线程的方式处理,然后在主线程等待所有子线程处理完成。 ...
JAVA多线程CountDownLatch使用详解
08-28
JAVA多线程CountDownLatch使用详解 JAVA多线程CountDownLatchJAVA多线程编程的一种同步工具,主要用来让某个线程等待其他线程执行完毕后再继续执行。下面我们将详细介绍JAVA多线程CountDownLatch的使用和原理。...
mybaits 多线程 实现数据批量插入 (运用CountDownLatch实现闭锁)
10-12
总结来说,MyBatis结合多线程CountDownLatch闭锁实现数据批量插入是一种高效且安全的方法。它不仅能显著提升数据处理速度,还能有效防止并发问题,是处理大数据量场景下的明智选择。在实际开发,可以根据具体...
SpringBoot CountDownLatch多任务并行处理的实现方法
08-27
本篇文章主要介绍了SpringBoot CountDownLatch多任务并行处理的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解Java多线程编程CountDownLatch阻塞线程的方法
09-02
JavaCountDownLatch是一种多线程同步工具类,它允许一个或多个线程等待其他线程完成操作。在Java多线程编程CountDownLatch扮演着“共享锁”的角色,类似于读写锁的ReadLock,其核心功能是通过一个计数器来...
java 上下文一跳转就没了_Java层面上下文切换
weixin_35122994的博客
02-13 176
前言在过去单CPU时代,单任务在一个时间点只能执行单一程序。之后发展到多任务阶段,计算机能在同一时间点并行执行多任务或多进程。虽然并不是真正意义上的“同一时间点”,而是 多个任务或进程共享一个CPU,并交由操作系统来完成多任务间对CPU的运行切换,以使得每个任务都有机会获得一定的时间片运行。再后来发展到多线程技术,使得在一个程序内部能拥有多个线程并行执行。一个线程的执行可以被认为是一个CPU在执行...
SpringSecurity学习之路4-利用多线程提高Restful服务性能
kevin
05-11 554
知识点一:使用Runnerable异步处理Restful服务 知识点二:使用DeferredRestful异步处理Restful服务 同步处理逻辑如下: 假如要处理创建订单的请求,如上图所示,采用同步方式时,吞吐率无疑很低。 异步处理逻辑如下: 通过主线程调用副(子)线程的方式,能够提高系统的吞吐率。这种方式很直观,也很简单。实现代码如下: 执行后控制台输出结果 通过控...
多线程切换, 用户数据丢失问题
weixin_43687353的博客
12-18 1496
1.问题描述 进行导出时, 会从线程里取出用户数据, 但是因为导出开启了多线程, 导致用户数据可能取不到 2.问题原因 1.问题还是多线程, 开启了多线程后, 我从线程取数据, 用户数据不再当前线程. 而且偶尔能取到, 就是因为线程 切换, 不可控. 谁知道当前线程是不是存用户数据的线程. 2.前端传了个token, token包含用户参数, 然后由线程创建实例对象, 给对象设置属性值....
多线程异步方法Spring Security框架的SecurityContext无法获取认证信息的原因及解决方案
小蜜蜂1010的博客
11-19 3621
解决异步任务执行时,无法获取Spring Security安全上下文的用户身份信息
@RunWith(SpringRunner.class)和@RunWith(SpringJUnit4ClassRunner.class)的区别
weixin_43899069的博客
06-22 4286
几个常用注解的作用、用法、应用场景,易混点,通俗易懂。
项目使用线程池调用多线程任务通过springsecurity的api获取当前登录线程用户为空或者错误
weixin_43854800的博客
06-15 1560
我们在调用SecurityContextHolder.getContext()获取对象的时候,如果父线程已经登录,有这个对象,我开启多线程任务,第一次创建线程,是会从父线程拿到登录对象放到子线程。但是由于我用的线程池,其他地方可能已经创建过这个线程,我只是从线程池复用这个线程做多线程任务,那么我子线程调用SecurityContextHolder.getContext()拿到的对象要么为空,要么就是这个线程之前登录过的用户信息,而不是现在父线程登录用户信息。算了,还是稍微解释一下。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值