线程中的弹簧安全当前用户

Question

嗨，我在线程范围内使用弹簧安全时遇到了一些问题

System.out.println(((User) SecurityContextHolder.getContext().getAuthentication().getPrincipal()).getId());
new Thread(() -> System.out.println(((User) SecurityContextHolder.getContext().getAuthentication().getPrincipal()).getId())).start();

这两行应该给我当前的用户 ID

第一行按预期工作

第二行给我 NullPointerException 因为没有当前用户它是空值

我发现了这个问题，因为我想将很多行保存到歌曲表中，并且它有 @CreatedBy 用户，这将在线程中询问当前用户并且将失败，因为这将为当前用户提供空值

Answer 1

您可以将 SecurityContext 从一个线程转移到另一个线程

Runnable originalRunnable = new Runnable() {
public void run() {
    // invoke secured service
}
};
SecurityContext context = SecurityContextHolder.getContext();
DelegatingSecurityContextRunnable wrappedRunnable =
    new DelegatingSecurityContextRunnable(originalRunnable, context);

new Thread(wrappedRunnable).start();

查看并发支持

https://docs.spring.io/spring-security/reference/features/integrations/concurrency.html

Answer 2

如果希望衍生线程继承父线程的SecurityContext，则应设置MODE_INHERITABLETHREADLOCAL策略。

SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL)

有一个issue，当它与线程池一起使用时。这似乎已解决。

Answer 3

如果您希望所有子线程从ThreadLocal 继承SecurityContextHolder，您可以使用带有@PostConstruct 注释的方法来全局设置它。现在您的子线程将可以访问相同的 SecurityContextHolder。

@PostConstruct
void setGlobalSecurityContext() {
  SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL);
}

干杯