- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我有一个使用 RxJava 编写的 Spring Boot 微服务。我已经使用 Spring Security 使用 JWT 样式 token 来保护它。一切工作正常,直到我使用 RxJava io 调度程序添加线程池。我注意到当线程池与 Spring Security 一起使用时会出现有线行为。当我保存数据时,userId 也会随之保存。当我以 userOne 身份登录后创建第一个对象时,它已正确创建。对于 userTwo 也同样适用。然后说我以 userThree 身份登录并创建一个新数据,该数据是根据 userOne ID 保存的,这是错误的!仅当我在从池中获取的单独线程中执行操作时,才会出现这种行为。
我的安全配置文件如下:
public SecurityConfig(ApplicationProperties applicationProperties) {
super();
this.applicationProperties = applicationProperties;
SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
super.configure(http);
http.csrf().disable().headers().frameOptions().disable().and().sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS).and().authorizeRequests().antMatchers("/api/**")
.authenticated().antMatchers("/management/**").hasAuthority(AuthoritiesConstants.ADMIN)
.antMatchers("/swagger-resources/configuration/ui").permitAll().antMatchers("/health/**").permitAll()
.and()
.addFilterAfter(new TokenAuthenticationProcessingFilter(
new MyAuthenticationProvider(this.applicationProperties),
"/api/**", null, new SimpleUrlAuthenticationFailureHandler()), BasicAuthenticationFilter.class);
}
为了简单明了,删除了不必要的代码。不仅对于 RxJava,而且当 @Async
与 spring 创建的线程池一起使用时,也存在相同的行为。这是一种竞争条件。
原因可能是这样的。安全上下文继承给子线程。父线程从池中获取一个线程并向该线程提交任务。线程继承安全上下文。一旦任务完成,线程就会被释放回池中。假设当另一个请求到来时,先前使用的线程将被重用。我怀疑安全上下文尚未被删除,因此数据保存在旧用户的 ID 下。
这只是一个思维导图或想象。那可能吗?如果是这样,有什么解决方案可以解决这个问题。有没有办法在线程被释放回池之前清除安全上下文?如何使用 @Async
和 RxJava 调度程序实现相同的效果?
最佳答案
您是正确的,当重新使用池中的线程时,任何线程本地数据可能仍然存在于线程中。您试图通过设置全局变量来使用安全凭据,这本质上是不安全的。 J2EE 程序可以摆脱这个问题,因为线程模型......过于简单。
在事务可以跨多个线程发生的环境中,您无法使用线程本地安全凭据。
一种可以很好地与 RxJava 配合使用的方法是将凭证绑定(bind)到类上下文,并在该上下文中执行 RxJava 观察者链,关闭凭证并确保引用的局部性。您为每个用户创建一个对象,将凭据绑定(bind)到用户,然后在需要凭据的每个步骤中引用用户的凭据。
关于java - 将 Spring Security 与线程池结合使用会导致重用线程时出现竞争条件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49575487/
我有一张 Excel 表格,用于更新玩家评分。 播放器 配售 初始化 1 2 3 4 金融评级 一个 1 2.0 1.000 0.018 0.016 0.014 2.007 D 2 -2.0 54.5
我有一个 map = std::map ,其中 myItemModel继承QAbstractItemModel . 我现在要合并所有 myItemModel合一myItemModel (其他所有元素模
我大量使用“do.call”来生成函数调用。例如: myfun <- "rnorm"; myargs <- list(n=10, mean=5); do.call(myfun, myargs); 但是
想象一下 InputStream 的以下变体: trait FutureInputStream { //read bytes asynchronously. Empty array means E
这是我的 C 代码: #include void sum(); int newAlphabet; int main(void) { sum();
我只是想选择类“.last”之后的每个元素。 HTML: 1 2 Jquery
我正在为一个项目构建一个 XML 反序列化器,我经常遇到这种类型的代码情况: var myVariable = ParseNDecimal(xml.Element("myElement")) == n
这是来自 Selecting the highest salary 的继续问题 假设有一个表 'wagetable' name lowhours highhours wage pri
我正在为我的程序创建一个战舰程序;该程序运行良好,但我试图确保当用户将坐标超出范围时,程序会说他们输入的坐标不正确。这是代码: #include #include void
我有一个函数,它为每种情况返回不同的 DWORD 值,如果出现错误。所以我有以下定义: #define ERR_NO_DB_CONNECTION 0x90000 #define ERR_DB_N
在派生类中引发基类事件以下简单示例演示了在基类中声明可从派生类引发的事件的标准方法。此模式广泛应用于 .NET Framework 类库中的 Windows 窗体类。在创建可用作其他类的基类的类时,应
我只是想知道这是否可能: use Modern::Perl; my @list = ('a' .. 'j'); map { func($_) } each(@list); sub func { m
我一直在使用 =IF(L2="","Active",IF(K2I2,"Late"))) 有效,但现在我需要检查 F 上的多个条件 专栏 我试过了 OR 函数 =IF(OR(F2="Scheduled"
我有 2 个命令,如下所示。 在视频中添加介绍图片 ffmpeg -y -loop 1 -framerate 10 -t 3 -i intro.png -i video.mp4 -filter_com
好的,我有这个公式可以根据名字和姓氏列表生成用户名。现在,虽然这可行,但我希望单元格改为引用我自己的 VBA 函数。但是,由于代码少得多,我仍然想使用原始公式。 我有这个公式: =SUBSTITUTE
我有两个 HAProxy 实例。两个实例都启用了统计信息并且工作正常。 我正在尝试将两个实例的统计信息合并为一个,以便我可以使用单个 HAProxy 来查看前端/后端统计信息。我试图让两个 hapro
我有一个 Observable,其中每个新值都应该引起一个 HTTP 请求。在客户端,我只关心最新的响应值;但是,我希望每个请求都能完成以进行监控/等。目的。 我目前拥有的是这样的: function
我的网站上有 TinyMCE 插件。在 TinyMCE 插件的 textarea 中添加图像时,我希望这些图像包含延迟加载。我网站的缩略图具有特定类型的延迟加载,其中 src 图像是灰色背景。根据用户
我希望合并润滑间隔,以便如果它们重叠,则从内部第一个时间获取最小值和从内部最后一个时间获取最大值并总结以创建一个跨越整个时间段的新间隔。这是一个reprex: library(lubridate, w
我有一个应用程序,它本质上是一个页眉、主要内容和一个始终可见的页脚。页脚可以改变大小,我想在页脚上方的主内容面板上放置一些工具。主要布局是用 flex 完成的,我阅读文档的理解是绝对定位通过相对于最近
我是一名优秀的程序员,十分优秀!