Servlet的線程安全問題

更新時(shí)間：2022年02月15日 15:51:17 作者：Y4tacker

本文主要介紹了Servlet的線程安全問題，文中通過示例代碼介紹的非常詳細(xì)，具有一定的參考價(jià)值，感興趣的小伙伴們可以參考一下

引入

首先看看這樣的代碼，有什么問題

這里既要求cmd不能包含Calculator又必須要包含Calculator，能做到嗎，當(dāng)然是可以的

在這里插入圖片描述

Servlet的多線程機(jī)制

Servlet實(shí)際上是一個(gè)單件，當(dāng)我們第一次請(qǐng)求某個(gè)Servlet時(shí)，Servlet容器將會(huì)根據(jù)web.xml配置文件或者是注解實(shí)例化這個(gè)Servlet類，之后如果又有新的客戶端請(qǐng)求該Servlet時(shí)，則一般不會(huì)再實(shí)例化該Servlet類，這說明了什么呢？簡(jiǎn)單來說，當(dāng)多個(gè)用戶一起訪問時(shí)，得到的其實(shí)是同一個(gè)Servlet實(shí)例，這樣的話，他們對(duì)實(shí)例的成員變量的修改其實(shí)會(huì)影響到別人，所以在開發(fā)的時(shí)候如果沒有注意這個(gè)問題往往會(huì)有一些額安全問題，而往往Servlet的線程安全問題主要是由于實(shí)例變量使用不當(dāng)而引起

因此我們?cè)倏瓷厦娴拇a，很明顯我們看到了這個(gè)status狀態(tài)變量是實(shí)例變量，當(dāng)然這里為了突出并發(fā)的效果，這里加了一個(gè)延時(shí)，這里簡(jiǎn)簡(jiǎn)單單用python實(shí)現(xiàn)競(jìng)爭(zhēng)，也不必上多線程了簡(jiǎn)單點(diǎn)

url = "http://127.0.0.1:8080/?cmd=open -na Calculator"

while 1:
    r = requests.get(url)
    if "Cal" in r.text:
        print(r.text)

url = "http://127.0.0.1:8080/?cmd=ls"

while 1:
    r = requests.get(url)

如何修復(fù)

1.實(shí)現(xiàn) SingleThreadModel 接口

該接口指定了系統(tǒng)如何處理對(duì)同一個(gè)Servlet的調(diào)用。如果一個(gè)Servlet被這個(gè)接口指定，那么在這個(gè)Servlet中的service方法將不會(huì)有兩個(gè)線程被同時(shí)執(zhí)行，當(dāng)然也就不存在線程安全的問題。這種方法只要繼承這個(gè)接口就行了,因此將我們上面的代碼改為

public class TestServlet extends HttpServlet implements SingleThreadModel

這樣你覺得就完全安全了嗎？？答案也不是，如果我們將上面的對(duì)狀態(tài)的定義加上static呢

public static boolean status;

lol，還是可以成功，原因是SingleThreadModel不會(huì)解決所有的線程安全隱患。會(huì)話屬性和靜態(tài)變量仍然可以被多線程的多請(qǐng)求同時(shí)訪問

在這里插入圖片描述

還有一點(diǎn)很重要該接口在Servlet　API 2.4中將不推薦使用。

2.避免使用成員變量

既然問題出自成員變量，那么我們就盡量避免去使用它

將上面的代碼改為

public class TestServlet extends HttpServlet{

//    public  boolean status;
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {
        boolean status = true;
        String cmd = req.getParameter("cmd");
        if (cmd.contains("Calculator")) {
            status = false;
            try {
                Thread.sleep(1000);
            }catch (Exception e){

            }
        }

        if (!status) {
            return;
        }
        if (cmd.contains("Calculator")){
            resp.getWriter().write(cmd);
        }
    }
}

3.同步對(duì)共享數(shù)據(jù)的操作

使用synchronized 關(guān)鍵字能保證一次只有一個(gè)線程可以訪問被保護(hù)的區(qū)段，因此可以將代碼寫為

public class TestServlet extends HttpServlet{

    public  boolean status;
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {
        String cmd = req.getParameter("cmd");
        boolean status;
        synchronized(this) {
            status = true;

            if (cmd.contains("Calculator")) {
                status = false;
                try {
                    Thread.sleep(5000);
                } catch (Exception e) {

                }
            }
        }

        if (!status) {
            return;
        }
        if (cmd.contains("Calculator")){
            resp.getWriter().write(cmd);
        }
    }
}

思考與小結(jié)

但是如果利用上面三種方式去修復(fù)，這樣就完全沒問題了嗎？并不是

比如實(shí)現(xiàn)SingleThreadModel以及在程序中使用同步來保護(hù)要使用的共享的數(shù)據(jù)，在實(shí)際業(yè)務(wù)當(dāng)中這也會(huì)使得我們系統(tǒng)的性能大大下降，這也是我們不太希望看到的，前者為每個(gè)新的請(qǐng)求創(chuàng)建一個(gè)單獨(dú)的Servlet實(shí)例，這將引起大量的系統(tǒng)開銷，而后者被同步的代碼塊在同一時(shí)刻也只能有一個(gè)線程執(zhí)行它，這也會(huì)導(dǎo)致在高并發(fā)的情況下，同時(shí)處理請(qǐng)求的吞吐量顯著的降低

因此，在Serlet中避免使用實(shí)例變量或許是更好的選擇，但如果無(wú)法避免，但如果無(wú)法避免，也應(yīng)該盡量做到去同步可用性最小的代碼路徑