当我使用Spring Security + WebFlux时，为什么对身份验证端点有双重请求？

当使用Spring Security + WebFlux时，对身份验证端点出现双重请求的原因是因为WebFlux的非阻塞特性导致请求在处理过程中可能会被多次调用。

具体来说，WebFlux使用的是响应式编程模型，它基于事件驱动的非阻塞I/O模型，可以处理大量并发请求。在这种模型下，请求会被分成多个事件流进行处理，而不是像传统的阻塞I/O模型一样，每个请求都会被分配一个独立的线程。

当使用Spring Security进行身份验证时，通常会配置一个身份验证过滤器来拦截请求并进行身份验证。然而，由于WebFlux的非阻塞特性，请求可能会在处理过程中被多次调用，导致身份验证过滤器被多次执行。

这种双重请求的现象可能会对身份验证端点的性能和安全性产生影响。为了解决这个问题，可以采取以下几种方法：

使用deduplicate()方法：在WebFlux的路由配置中，可以使用deduplicate()方法来去重请求，确保每个请求只被处理一次。例如：

@Bean
public RouterFunction<ServerResponse> routes() {
    return RouterFunctions.route()
            .GET("/auth", request -> handleAuth(request).deduplicate())
            .build();
}

使用cache()方法：可以使用cache()方法将身份验证结果缓存起来，避免重复的身份验证操作。例如：

@Bean
public RouterFunction<ServerResponse> routes() {
    return RouterFunctions.route()
            .GET("/auth", request -> handleAuth(request).cache())
            .build();
}

使用filter()方法：可以在身份验证过滤器中添加一个标记，用于标识已经进行过身份验证的请求，避免重复验证。例如：

@Component
public class AuthFilter implements WebFilter {
    private static final String AUTH_FLAG = "authFlag";

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) {
        if (exchange.getAttribute(AUTH_FLAG) != null) {
            // 已经进行过身份验证，直接放行
            return chain.filter(exchange);
        } else {
            // 进行身份验证
            return authenticate(exchange)
                    .doOnSuccess(authResult -> exchange.getAttributes().put(AUTH_FLAG, true))
                    .flatMap(authResult -> chain.filter(exchange));
        }
    }

    private Mono<Authentication> authenticate(ServerWebExchange exchange) {
        // 身份验证逻辑
    }
}

通过以上方法，可以解决使用Spring Security + WebFlux时对身份验证端点出现双重请求的问题。请注意，以上方法仅为示例，具体的实现方式可能会根据项目的需求和架构而有所不同。

关于Spring Security和WebFlux的更多信息，您可以参考腾讯云的相关产品和文档：