SecurityContext jest często trzymany w ThreadLocal. Gdy zmieniasz wątek (async/executor), nowy wątek może nie mieć tego kontekstu i znika info o użytkowniku. Trzeba propagować kontekst albo użyć wspieranej integracji bezpieczeństwa dla async.