SecurityContextHolder 能否跨用户共享

Question

回答这个问题securitycontextholder-session-or-request-bound。 我正在使用此示例how-to-customAuthenticationManager 实现 CustomAuthenticationManager。事实证明，我的用户体验得到了 Accross Session。

例如，用户 A 与 Web App 交互，有时在访问配置文件时，用户 A 可以获取用户 B 的配置文件（这是因为应用程序正在从 SecurityContextHolder 的主体检索 UserProfileLoggedIn 并访问数据库），同时用户 B 已登录，但可能无法访问个人资料。

我想知道这是 SecurityContextHolder 泄漏吗？我知道 SecurityContextHolder 只是将 HttpSession 实现为包含 userDetails 等的容器的一种方式。

现在，在遇到问题后，我将 customAuthenticationManager 更改为 customAuthenticationProvider。有关更多信息，用户在中午大约有 100-500 个并发用户。

有关更多信息，我正在我的@Service 类中实现 SecurityContextHolder，以便其他团队成员可以轻松获得

@Service
public MyServiceImpl implement MyServiceInterface{
    public UserDetail findUser(){
       return (UserDetail) SecurityContextHolder.getContext().
              getAuthentication().getPrincipal();
     }
}

Answer 1

默认情况下，SecurityContextHolder 的实现绑定到ThreadLocal 的实例：

• 它的可扩展性与您的容器为 Spring Security 提供同步线程一样多。
• 抽象不是HttpSession的实现；但是，它提供与底层 HTTP Servlet 提供程序的集成，以将 HTTP 安全信息传输到 Spring 管理的应用层。
• ThreadLocal 上的组合使 API 用户能够利用在不同线程中处理多个数据视图的优势。这也是为什么如果您在 HTTP 容器中有适当的线程配置，那么就用户数量而言，您不应该遇到可伸缩性问题。

Answer 2

我终于在我的代码中找到了根本问题。 我的一名团队成员正在@Service Class 中放置一个变量...... 像这样……

@Service 
public AnotherServiceImpl implements AnotherService{

  UserDetail userdetail;  //This is hillarious

  @Autowired
  MyServiceImpl myService;

  @Override
  public .......

   //......
}

显然我没有看到它的到来......在删除“UserDetail”变量后，一切都恢复原状...... 谢谢，我希望有人能从我的“愚蠢”错误中吸取教训