Spring Security中AuthorizationAdvisorProxyFactory的线程安全问题分析与解决方案

2025-05-25 22:44:17作者：房伟宁

问题背景

在Spring Security 6.4.4版本中，当使用@AuthorizeReturnObject注解的端点返回一个包含@PreAuthorize授权对象的对象时，如果同时有多个并行请求访问该端点，系统会抛出ConcurrentModificationException异常。这个问题主要出现在授权代理工厂对授权顾问列表进行排序时。

问题根源分析

该问题的根本原因在于AuthorizationAdvisorProxyFactory类中的排序操作不是线程安全的。具体来说，当多个线程同时调用proxy方法时，它们会共享同一个顾问列表，而AnnotationAwareOrderComparator.sort方法会对这个列表进行排序操作，导致并发修改异常。

在Spring Security 6.3.2版本中，这个排序操作不会引发问题，但在6.4.4版本中，由于内部实现的改变，排序操作变得更加严格，会检查并发修改情况。

技术细节

问题的核心在于ArrayList的sort方法实现。即使排序操作实际上不需要修改列表内容，ArrayList.sort方法也会首先检查是否有并发修改。这种检查在并发场景下会导致问题，因为多个线程可能同时尝试对同一个列表进行排序操作。

临时解决方案

在等待官方修复的同时，可以采用以下线程安全的代理工厂实现作为临时解决方案：

@Component
@Primary
public class ThreadsafeAuthorizationProxyFactory implements AuthorizationProxyFactory {
    private AuthorizationAdvisorProxyFactory delegate;
    private final ReentrantLock lock = new ReentrantLock();

    @Override
    public Object proxy(Object object) {
        try {
            this.lock.lock();
            return this.delegate.proxy(object);
        } finally {
            this.lock.unlock();
        }
    }

    public void setDelegate(AuthorizationAdvisorProxyFactory delegate) {
        this.delegate = delegate;
    }
}

同时需要配置相应的advisor：

@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
static Advisor authorizeReturnObjectAdvisor(ObjectProvider<AuthorizationAdvisor> provider, 
    ThreadsafeAuthorizationProxyFactory proxyFactory) {
    AuthorizationAdvisorProxyFactory delegate = new AuthorizationAdvisorProxyFactory(new ArrayList<>());
    provider.forEach(delegate::addAdvisor);
    AuthorizeReturnObjectMethodInterceptor interceptor = new AuthorizeReturnObjectMethodInterceptor(proxyFactory);
    delegate.addAdvisor(interceptor);
    proxyFactory.setDelegate(delegate);
    return interceptor;
}

最佳实践建议

在使用Spring Security的授权注解时，特别是@AuthorizeReturnObject和@PreAuthorize组合使用时，要注意并发场景下的安全性。
对于高并发应用，建议对关键的安全组件进行线程安全评估，必要时实现自定义的线程安全包装器。
升级Spring Security版本时，要特别注意安全相关组件的线程安全性变化。