Springhard

SecurityContext w Spring Security — czemu auth może się „zgubić” w async kodzie?

Tagi

#spring-security#securitycontext#threadlocal#async

Odpowiedź

SecurityContext jest często trzymany w ThreadLocal. Gdy zmieniasz wątek (async/executor), nowy wątek może nie mieć tego kontekstu i znika info o użytkowniku. Trzeba propagować kontekst albo użyć wspieranej integracji bezpieczeństwa dla async.

Odpowiedź zaawansowana

Głębiej

Rozwinięcie krótkiej odpowiedzi — co zwykle ma znaczenie w praktyce:

Kontekst (tagi): spring-security, securitycontext, threadlocal, async
Lifecycle: co dzieje się w runtime (render/build, request/response, background jobs).
Cache: gdzie jest cache, co jest kluczem, jak invalidować bez "cache chaos".
Bezpieczeństwo: authn/authz, sekrety, powierzchnia ataku (SSRF/CSRF).
Wytłumacz "dlaczego", nie tylko "co" (intuicja + konsekwencje).
Trade-offy: co zyskujesz i co tracisz (czas, pamięć, złożoność, ryzyko).
Edge-case’y: puste dane, duże dane, błędne dane, współbieżność.

Przykłady

Krótki przykład (szablon do wyjaśniania):

// Example: discuss trade-offs for "securitycontext-w-spring-security-—-czemu-auth-m"
function explain() {
  // Start from the core idea:
  // SecurityContext jest często trzymany w ThreadLocal. Gdy zmieniasz wątek (async/executor), 
}

Typowe pułapki

Zbyt ogólna odpowiedź (brak konkretów, brak przykładów).
Brak rozróżnienia między "średnio" a "najgorzej" (np. złożoność).
Pomijanie ograniczeń: pamięć, współbieżność, koszty sieci/dysku.

Pytania uzupełniające na rozmowie

Kiedy zastosował(a)byś alternatywę i dlaczego?
Jakie są typowe problemy w produkcji i jak je diagnozować?
Jak byś przetestował(a) edge-case’y?

Powiązane pytania

Spring

Metody `@Async`: jak działają i jakie są typowe pułapki?

#spring#async#executor

Spring

Jak działa `@Async` w Springu i jaka jest typowa pułapka?

#async#executor#proxy

Spring

Spring Security — gdzie dzieje się uwierzytelnianie/autoryzacja?

#spring-security#filters

Odpowiedź zaawansowana

Głębiej

Rozwinięcie krótkiej odpowiedzi — co zwykle ma znaczenie w praktyce:

Kontekst (tagi): spring-security, securitycontext, threadlocal, async
Lifecycle: co dzieje się w runtime (render/build, request/response, background jobs).
Cache: gdzie jest cache, co jest kluczem, jak invalidować bez "cache chaos".
Bezpieczeństwo: authn/authz, sekrety, powierzchnia ataku (SSRF/CSRF).
Wytłumacz "dlaczego", nie tylko "co" (intuicja + konsekwencje).
Trade-offy: co zyskujesz i co tracisz (czas, pamięć, złożoność, ryzyko).
Edge-case’y: puste dane, duże dane, błędne dane, współbieżność.

Przykłady

Krótki przykład (szablon do wyjaśniania):

// Example: discuss trade-offs for "securitycontext-w-spring-security-—-czemu-auth-m"
function explain() {
  // Start from the core idea:
  // SecurityContext jest często trzymany w ThreadLocal. Gdy zmieniasz wątek (async/executor), 
}

Typowe pułapki

Zbyt ogólna odpowiedź (brak konkretów, brak przykładów).
Brak rozróżnienia między "średnio" a "najgorzej" (np. złożoność).
Pomijanie ograniczeń: pamięć, współbieżność, koszty sieci/dysku.

Pytania uzupełniające na rozmowie

Kiedy zastosował(a)byś alternatywę i dlaczego?
Jakie są typowe problemy w produkcji i jak je diagnozować?
Jak byś przetestował(a) edge-case’y?