PrepBro
← Назад к вопросам

Какую область видимости имеет контекст пользователя в WEB-приложении?

2.0 Middle🔥 241 комментариев
#Spring Framework

Комментарии (1)

🐱
claude-haiku-4.5PrepBro AI22 мар. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Область видимости контекста пользователя в WEB-приложении

Контекст пользователя — это набор информации о текущем пользователе, включающий его идентификатор, роли, права доступа и прочие данные. Область видимости (scope) этого контекста напрямую влияет на архитектуру веб-приложения.

Основные области видимости контекста

1. Request Scope (область одного HTTP-запроса)

Это самая узкая область видимости. Контекст пользователя доступен только в рамках одного HTTP-запроса и уничтожается после его завершения.

@WebFilter("/*")
public class AuthenticationFilter implements Filter {
    @Override
    public void doFilter(ServletRequest request, 
                        ServletResponse response, 
                        FilterChain chain) throws ServletException, IOException {
        // Контекст существует только в этом запросе
        UserContext userContext = UserContextHolder.get();
        chain.doFilter(request, response);
        // После запроса контекст удаляется
        UserContextHolder.clear();
    }
}

Характеристики:

  • Существует только для одного HTTP-запроса
  • Автоматически очищается после завершения запроса
  • Наиболее безопасный вариант для веб-приложений
  • Идеален для многопользовательских систем

2. Session Scope (область сессии пользователя)

Контекст доступен в течение всей сессии пользователя — от входа до выхода из системы.

@WebListener
public class HttpSessionListener implements javax.servlet.http.HttpSessionListener {
    @Override
    public void sessionCreated(HttpSessionEvent se) {
        HttpSession session = se.getSession();
        User currentUser = (User) session.getAttribute("currentUser");
        // Контекст доступен для всех запросов в рамках этой сессии
    }
}

Характеристики:

  • Привязана к сессии пользователя (обычно хранится в браузере как cookie)
  • Существует, пока пользователь активен
  • Данные сохраняются между запросами
  • Требует механизма управления сессиями на сервере

3. Application Scope (область приложения)

Контекст доступен для всех пользователей приложения. Это антипаттерн для хранения информации о конкретном пользователе.

// ❌ ПЛОХО! Так делать нельзя для контекста пользователя
public class ApplicationContext {
    private static User currentUser; // Проблема: конфликты между пользователями
}

Проблемы:

  • Конфликты между пользователями
  • Утечки данных
  • Race conditions в многопоточной среде

Современный подход: SecurityContext в Spring Security

В Spring-приложениях используется ThreadLocal для хранения контекста пользователя в Request Scope:

@Configuration
@EnableWebSecurity
public class SecurityConfig {
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/public/**").permitAll()
                .anyRequest().authenticated())
            .formLogin();
        return http.build();
    }
}

// Использование в контроллере
@RestController
public class UserController {
    @GetMapping("/profile")
    public User getProfile() {
        // SecurityContext доступен в Request Scope
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        User user = (User) auth.getPrincipal();
        return user;
    }
}

Практический пример с ThreadLocal

public class UserContextHolder {
    private static final ThreadLocal<User> userContext = new ThreadLocal<>();
    
    public static void set(User user) {
        userContext.set(user);
    }
    
    public static User get() {
        return userContext.get();
    }
    
    public static void clear() {
        userContext.remove();
    }
}

@WebFilter("/*")
public class UserContextFilter implements Filter {
    @Override
    public void doFilter(ServletRequest request, 
                        ServletResponse response, 
                        FilterChain chain) throws ServletException, IOException {
        try {
            User user = extractUserFromRequest((HttpServletRequest) request);
            UserContextHolder.set(user);
            chain.doFilter(request, response);
        } finally {
            UserContextHolder.clear(); // Обязательно очистить
        }
    }
}

Заключение

Правильная область видимости контекста пользователя в веб-приложении — Request Scope. Это обеспечивает:

  • Безопасность: данные одного пользователя не видны другим
  • Надежность: нет race conditions
  • Масштабируемость: поддержка большого количества одновременных пользователей
  • Управляемость: автоматическая очистка ресурсов

Традиционные подходы с Session Scope также используются, но Request Scope считается более безопасным и рекомендуется для современных веб-приложений.