
<!DOCTYPE html><html><head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

  </head>

  <body>

    <br>

    <br>

    <div class="moz-cite-prefix">On 02/05/2024 19:33, Chris Marshall

      wrote:<br>

    </div>

    <blockquote type="cite" cite="mid:CWLP123MB603584D640B35C61E581766C8D182@CWLP123MB6035.GBRP123.PROD.OUTLOOK.COM">

      

      <style type="text/css" style="display:none;">P {margin-top:0;margin-bottom:0;}</style>:

      <div class="elementToProof" style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

        <br>

      </div>

      <div class="elementToProof" style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

        Last week I upgraded the application to be compiled by JDK22,

        and run on JDK22. Immediately, we started to see failures from

        within the User-SRP auth code

        <i>only when it was run on a virtual thread from within a

          StructuredTaskScope.</i> The failures are merely that the code

        appears to have calculated the wrong authentication response

        (i.e. AWS Cognito returns a message to the effect that we have

        the wrong username or password). It is not possible that this

        could be the case, because the same application, using the same

        username/password combo is able to successfully authenticate to

        AWS Cognito using User-SRP auth from a platform thread.</div>

      <br>

    </blockquote>

    Thanks for reporting a potential issue.<br>

    <br>

    You say that the code was running correctly on JDK 21. Was this in

    the context of virtual threads and using StructuredTaskScope? I'm

    trying to understand from your mail if you were using virtual

    threads with JDK 21 and whether you were using StructuredTaskScope

    in JDK 21 too.<br>

    <br>

    "wrong username or password" hints that maybe this is some kinda of

    inheritance issue, I'm specifically thinking of the inherit access

    control context. Would it be possible to search the code and

    libraries that are in use here to see if they are using the

    javax.security.auth.Subject API? It's just a wild guess at this

    point but I think might give some clues as to where inheritance

    might be coming from.<br>

    <br>

    -Alan<br>

    <br>

    <br>

  </body>

</html>