Ric*_*Ric 12 multithreading spring-security security-context servlet-filters spring-boot
我开发了一个使用基于令牌的身份验证的无状态REST API,我通过SecurityContextHolder.getContext().setAuthentication(authentication)在自定义安全过滤器中调用,手动将Authentication对象添加到安全上下文.我一直遇到上下文没有正确设置的问题,我认为是由于这个原因:
在单个会话中接收并发请求的应用程序中,将在线程之间共享相同的SecurityContext实例.即使正在使用ThreadLocal,它也是从HttpSession为每个线程检索的相同实例.如果您希望临时更改运行线程的上下文,则会产生影响.如果您只使用SecurityContextHolder.getContext(),并对返回的上下文对象调用setAuthentication(anAuthentication),则Authentication对象将在共享同一SecurityContext实例的所有并发线程中更改....
您可以自定义SecurityContextPersistenceFilter的行为,为每个请求创建一个全新的SecurityContext,防止一个线程中的更改影响另一个线程.
所以问题是 - 你如何改变SecurityContextPersistenceFilter的行为?
我希望安全上下文不与http会话相关联,但不希望将会话创建策略设置为无状态,因为我仍然希望实现CSRF保护等.
小智 3
今天下午我有这个确切的问题,这个开放性问题与我的搜索完全匹配,所以我想我会添加我学到的一点东西。
我们有访问相同 SecurityContext 的线程。我无法弄清楚如何直接自定义 SecurityContextPersistenceFilter 的行为(并且在框架的模式中),但是有两种方法可以使其成为线程安全的。
第一个解决方案是确保在我们的主身份验证过滤器中创建一个空上下文。这涵盖了我们所有经过身份验证的请求,因此它适用于我们的解决方案。
SecurityContextHolder.createEmptyContext();
对我有用的第二件事是将我们的 WebSecurityConfig 更改为无状态,我知道这对 OP 不起作用,但为了完整性而在此处添加。
http.authorizeRequests()
.anyRequest().authenticated()
.and()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
...
这两种解决方案对于我们的特定配置都是独立工作的。我确信有第三种解决方案读起来更好,但我不知道它是什么,但我想知道。
这是我第一次发帖。我欢迎任何反馈。
| 归档时间: |
|
| 查看次数: |
599 次 |
| 最近记录: |