railsでのThread.current []使用の安全性

Question

情報をThread.currentハッシュ（たとえば、current_user、現在のサブドメインなど）に保存する方法について、相反する意見が出続けています。この手法は、モデルレイヤー内の以降の処理（クエリのスコープ、監査など）を簡素化する方法として提案されています。

多くの人は、MVCパターンに違反するため、この慣行は受け入れられないと考えています。他の人はアプローチの信頼性/安全性について懸念を表明しており、私の2部構成の質問は後者の側面に焦点を当てています。

Thread.currentハッシュは、そのサイクル全体を通じて、1つの応答に対してのみ使用可能でプライベートであることが保証されていますか？
応答の最後にあるスレッドが他の着信要求に渡される可能性があり、それによりThread.currentに格納されている情報が漏洩する可能性があることを理解しています。そのようなセキュリティ侵害を防ぐには、応答の終了前にそのような情報をクリアすること（たとえば、コントローラーのThread.current[:user] = nilからafter_filterを実行すること）で十分ですか？

ありがとう！ジュゼッペ

Maur&#237;cio Linhares · Accepted Answer

スレッドローカル変数を避ける特別な理由はありません。主な問題は次のとおりです。

それらを使用するコードをテストするときに、スレッドローカル変数を設定することを忘れないでください。
スレッドローカルを使用するクラスは、これらのオブジェクトがavailableではなく、スレッドローカル変数の内部であり、この種の間接が通常 demeterの法則を破るという知識が必要です。
フレームワークがスレッドを再利用する場合、スレッドローカルをクリーンアップしないことが問題になる場合があります（スレッドローカル変数が既に開始され、変数を初期化するための =呼び出しに失敗する可能性があります）

したがって、使用するのは完全に問題ではありませんが、bestアプローチはそれらを使用することではありませんが、時々、スレッドローカルが最も単純な解決策になる壁にぶつかる非常に多くのコードを変更し、妥協する必要があります。スレッドローカルで完全ではないオブジェクト指向モデルを使用するか、同じことを行うために非常に多くのコードを変更します。

だから、それは主にあなたのケースにとって最善の解決策になるだろうと考えている問題であり、あなたが本当にスレッドローカルパスを下っているなら、私はあなたが後にクリーンアップすることを覚えているブロックでそれを行うことを確かに勧めます次のように行われます。

around_filter :do_with_current_user def do_with_current_user Thread.current[:current_user] = self.current_user begin yield ensure Thread.current[:current_user] = nil end end