Spring Security 多线程环境下的安全上下文传递

核心问题背景
在 Spring Security 中，认证信息默认通过 ThreadLocal 存储，这导致在子线程中无法直接获取父线程的安全上下文。典型问题场景

new Thread(() -> {
    // 这里获取的认证为null
    Authentication auth = SecurityContextHolder.getContext().getAuthentication();
}).start();

二、解决方案对比
1. 基础方案：手动传递（不推荐）

SecurityContext context = SecurityContextHolder.getContext();
new Thread(() -> {
    SecurityContextHolder.setContext(context); // 手动设置
    // ...业务代码...
    SecurityContextHolder.clearContext(); // 必须清理
}).start();

缺点：
代码侵入性强
容易遗漏清理导致内存泄漏
线程池场景下会污染后续任务
2. 静态工具类方案（有限场景使用）

public class SecurityContextUtils {
    private static final InheritableThreadLocal<SecurityContext> contextHolder = 
        new InheritableThreadLocal<>();
    
    public static void executeWithContext(Runnable task) {
        try {
            setContext(SecurityContextHolder.getContext());
            task.run();
        } finally {
            clear();
        }
    }
}

适用场景：简单测试或非线程池环境
3. 官方推荐方案（Spring Boot 2.7+）
3.1 线程池配置

@Configuration
public class ThreadPoolConfig {
    
    @Bean
    public ExecutorService securityContextAwareExecutor() {
        ThreadPoolTaskExecutor executor = new ThreadPoolTaskExecutor();
        executor.setCorePoolSize(10);
        executor.setThreadNamePrefix("sec-ctx-thread-");
        executor.initialize();
        
        return new DelegatingSecurityContextExecutorService(executor);
    }
}

3.2 控制器使用示例

@RestController
public class HelloController {
    
    @Autowired
    private ExecutorService securityContextAwareExecutor;
    
    @GetMapping("/test")
    public String test() {
        securityContextAwareExecutor.execute(() -> {
            // 自动获取父线程上下文
            Authentication auth = SecurityContextHolder.getContext().getAuthentication();
            System.out.println("线程用户: " + auth.getName());
        });
        return "success";
    }
}

三、原理剖析
1. 核心类关系图

DelegatingSecurityContextExecutorService
  └─ 包装原生ExecutorService
      ├─ 提交任务时捕获当前SecurityContext
      └─ 执行前通过SecurityContextHolder.setContext()注入

2. 执行时序
   主线程设置认证信息
   线程池提交任务时快照上下文
   工作线程执行前恢复上下文
   任务完成后自动清理

四、生产环境最佳实践
1. 配置建议

# application.yml
spring:
  task:
    execution:
      pool:
        core-size: 20
        max-size: 100
        queue-capacity: 500

2. 异常处理模板

securityContextAwareExecutor.execute(() -> {
    try {
        // 业务代码
    } catch (Exception e) {
        log.error("任务执行失败", e);
        // 补偿逻辑
    } finally {
        // 可添加监控指标
    }
});

3. 监控指标

@Bean
public MeterBinder threadPoolMetrics(ExecutorService executor) {
    return (registry) -> {
        ThreadPoolExecutor pool = (ThreadPoolExecutor) executor;
        Gauge.builder("thread.pool.active", pool::getActiveCount)
            .register(registry);
    };
}

五、常见问题排查
1. 上下文获取为null
检查点：
是否使用了正确的包装器
线程池是否被重复创建
Spring Security 过滤器链是否生效
2. 内存泄漏
检测方法：

@Scheduled(fixedDelay = 3600000)
public void checkContextLeak() {
    long count = ((ThreadPoolTaskExecutor)executor)
        .getThreadPoolExecutor().getPoolSize();
    monitor.record("thread.context.leak", count);
}

3. 与@Async集成

@Configuration
@EnableAsync
public class AsyncConfig implements AsyncConfigurer {
    
    @Override
    public Executor getAsyncExecutor() {
        return new DelegatingSecurityContextExecutorService(
            new ThreadPoolTaskExecutor()
        );
    }
}

六、版本兼容说明
Spring Boot 版本
适配方案
2.5.x - 2.7.x
本文方案
3.0.x+
改用SecurityContextHolderStrategy
七、总结
禁止直接使用 new Thread() 和原生线程池
推荐统一使用 DelegatingSecurityContextExecutorService
必须配置合理的线程池参数
建议添加上下文传递的监控指标
通过以上方案，可以确保在多线程环境下安全、可靠地传递安全上下文，同时保持代码的整洁性和可维护性。