Servlet的線程安全問題

更新時間：2022年02月15日 15:51:17 作者：Y4tacker

本文主要介紹了Servlet的線程安全問題，文中通過示例代碼介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們可以參考一下

引入

首先看看這樣的代碼，有什么問題

這里既要求cmd不能包含Calculator又必須要包含Calculator，能做到嗎，當(dāng)然是可以的

在這里插入圖片描述

Servlet的多線程機制

Servlet實際上是一個單件，當(dāng)我們第一次請求某個Servlet時，Servlet容器將會根據(jù)web.xml配置文件或者是注解實例化這個Servlet類，之后如果又有新的客戶端請求該Servlet時，則一般不會再實例化該Servlet類，這說明了什么呢？簡單來說，當(dāng)多個用戶一起訪問時，得到的其實是同一個Servlet實例，這樣的話，他們對實例的成員變量的修改其實會影響到別人，所以在開發(fā)的時候如果沒有注意這個問題往往會有一些額安全問題，而往往Servlet的線程安全問題主要是由于實例變量使用不當(dāng)而引起

因此我們再看上面的代碼，很明顯我們看到了這個status狀態(tài)變量是實例變量，當(dāng)然這里為了突出并發(fā)的效果，這里加了一個延時，這里簡簡單單用python實現(xiàn)競爭，也不必上多線程了簡單點

url = "http://127.0.0.1:8080/?cmd=open -na Calculator"

while 1:
    r = requests.get(url)
    if "Cal" in r.text:
        print(r.text)

url = "http://127.0.0.1:8080/?cmd=ls"

while 1:
    r = requests.get(url)

如何修復(fù)

1.實現(xiàn) SingleThreadModel 接口

該接口指定了系統(tǒng)如何處理對同一個Servlet的調(diào)用。如果一個Servlet被這個接口指定，那么在這個Servlet中的service方法將不會有兩個線程被同時執(zhí)行，當(dāng)然也就不存在線程安全的問題。這種方法只要繼承這個接口就行了,因此將我們上面的代碼改為

public class TestServlet extends HttpServlet implements SingleThreadModel

這樣你覺得就完全安全了嗎？？答案也不是，如果我們將上面的對狀態(tài)的定義加上static呢

public static boolean status;

lol，還是可以成功，原因是SingleThreadModel不會解決所有的線程安全隱患。會話屬性和靜態(tài)變量仍然可以被多線程的多請求同時訪問

在這里插入圖片描述

還有一點很重要該接口在Servlet　API 2.4中將不推薦使用。

2.避免使用成員變量

既然問題出自成員變量，那么我們就盡量避免去使用它

將上面的代碼改為

public class TestServlet extends HttpServlet{

//    public  boolean status;
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {
        boolean status = true;
        String cmd = req.getParameter("cmd");
        if (cmd.contains("Calculator")) {
            status = false;
            try {
                Thread.sleep(1000);
            }catch (Exception e){

            }
        }

        if (!status) {
            return;
        }
        if (cmd.contains("Calculator")){
            resp.getWriter().write(cmd);
        }
    }
}

3.同步對共享數(shù)據(jù)的操作

使用synchronized 關(guān)鍵字能保證一次只有一個線程可以訪問被保護的區(qū)段，因此可以將代碼寫為

public class TestServlet extends HttpServlet{

    public  boolean status;
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {
        String cmd = req.getParameter("cmd");
        boolean status;
        synchronized(this) {
            status = true;

            if (cmd.contains("Calculator")) {
                status = false;
                try {
                    Thread.sleep(5000);
                } catch (Exception e) {

                }
            }
        }

        if (!status) {
            return;
        }
        if (cmd.contains("Calculator")){
            resp.getWriter().write(cmd);
        }
    }
}

思考與小結(jié)

但是如果利用上面三種方式去修復(fù)，這樣就完全沒問題了嗎？并不是

比如實現(xiàn)SingleThreadModel以及在程序中使用同步來保護要使用的共享的數(shù)據(jù)，在實際業(yè)務(wù)當(dāng)中這也會使得我們系統(tǒng)的性能大大下降，這也是我們不太希望看到的，前者為每個新的請求創(chuàng)建一個單獨的Servlet實例，這將引起大量的系統(tǒng)開銷，而后者被同步的代碼塊在同一時刻也只能有一個線程執(zhí)行它，這也會導(dǎo)致在高并發(fā)的情況下，同時處理請求的吞吐量顯著的降低

因此，在Serlet中避免使用實例變量或許是更好的選擇，但如果無法避免，但如果無法避免，也應(yīng)該盡量做到去同步可用性最小的代碼路徑