那些遇到过的问题

如何设置Spring Security SecurityContextHolder策略?

via*_*tor 30 spring spring-security

我在我的服务中使用异步方法(Spring 3 @Async注释).而且我遇到了问题 - 衍生线程没有安全上下文.原因是Spring Security默认使用SecurityContextHolder.MODE_THREADLOCAL其上下文持有者的策略.但我需要使用SecurityContextHolder.MODE_INHERITABLETHREADLOCAL策略.目前我在AuthenticationSuccessHandler中设置了策略.但在我看来,这不是一个好习惯.

那么如何在上下文配置文件中进行设置呢?
spring security的版本是3.0.0.

Gan*_*alf 34

您可以将环境变量设置spring.security.strategyMODE_INHERITABLETHREADLOCAL.您还可以在Web应用程序启动调用期间使用一个简单的bean,SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL)并在上下文配置文件中初始化该值.

SecurityContextHolder API

  • 感谢您关于简单豆的提示.但是我找到了更方便的解决方案 - 我在代码中添加了我的安全上下文:<beans:bean class ="org.springframework.beans.factory.config.MethodInvokingFactoryBean"p:targetClass ="org.springframework.security.core. context.SecurityContextHolder"p:targetMethod ="setStrategyName"p:arguments ="MODE_INHERITABLETHREADLOCAL"/> (23认同)
  • 请注意其中的含义:如果使用线程池,您还应该使用 setTaskDecorator() ,如此处所述 https://github.com/spring-projects/spring-security/issues/6856#issuecomment-518787966 我认为这非常重要。 (3认同)
  • @FrancoisMarot 感谢您的线程池提示!它救了我的屁股。使用“SecurityContextHolder.MODE_INHERITABLETHREADLOCAL”,我的线程池有时无法获取用户上下文。使用“executor.setTaskDecorator(runnable -&gt; new DelegatingSecurityContextRunnable(runnable));”,似乎总是如此。 (2认同)

Mat*_*uis 26

@viator的java配置如果有帮助你的答案.

@Bean
public MethodInvokingFactoryBean methodInvokingFactoryBean() {
    MethodInvokingFactoryBean methodInvokingFactoryBean = new MethodInvokingFactoryBean();
    methodInvokingFactoryBean.setTargetClass(SecurityContextHolder.class);
    methodInvokingFactoryBean.setTargetMethod("setStrategyName");
    methodInvokingFactoryBean.setArguments(new String[]{SecurityContextHolder.MODE_INHERITABLETHREADLOCAL});
    return methodInvokingFactoryBean;
}
Run Code Online (Sandbox Code Playgroud)

小智 5

还有一点解决方案,例如@viator:

<bean
        class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
        <property name="targetClass"
            value="org.springframework.security.core.context.SecurityContextHolder" />
        <property name="targetMethod" value="setStrategyName" />
        <property name="arguments" value="MODE_INHERITABLETHREADLOCAL" />
    </bean>
Run Code Online (Sandbox Code Playgroud)

像魅力一样工作。

mar*_*ggs 5

通过Java配置,无需反射。

import javax.annotation.PostConstruct;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.core.context.SecurityContextHolder;

@Configuration
public class SecurityConfig {

  @PostConstruct
  public void enableAuthCtxOnSpawnedThreads() {
    SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL);
  }
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

29311 次

最近记录:

6 年,4 月 前
Spring Security和@Async(经过身份验证的用户混淆) 33
更多相关链接
相关归档
在Spring单元测试期间无法加载ApplicationContext 33
eureka发现客户端 - 选择性禁用 16
yaml 文件中的星号(*) 有什么用? 15
maven spring - 找不到元素'beans'的声明 13
如何在测试事务期间避免在Spring Repository中缓存entites 11
未在Eclipse Tomcat实例上部署Maven依赖项 10
Spring:零星地获取没有找到portlet请求的处理程序 10
哪个弹簧视图解析器与angularjs一起玩得很好? 8
Spring Roo - 如何在没有AspectJ的情况下使用它? 7
Spring Web MVC Java配置 - 默认Servlet名称 6
难疑归档
如何删除子模块? 3366
如何正确克隆JavaScript对象? 2922
如何克隆特定的Git分支? 2804
将具有默认值的列添加到SQL Server中的现有表 2648
如何在Bash中连接字符串变量 2624
将零填充到字符串的最好方法 1309
如何使用AngularJS在浏览器控制台中访问$ scope变量? 1220
迭代集合,在循环中删除对象时避免使用ConcurrentModificationException 1158
为什么使用Redux而不是Facebook Flux? 1126
测量Python中经过的时间? 1031