Servlet的線程安全問題

Posted on by

引入

首先看看這樣的代碼,有什麼問題

這裡既要求cmd不能包含Calculator又必須要包含Calculator,能做到嗎,當然是可以的

在這裡插入圖片描述

Servlet的多線程機制

Servlet實際上是一個單件,當我們第一次請求某個Servlet時,Servlet容器將會根據web.xml配置文件或者是註解實例化這個Servlet類,之後如果又有新的客戶端請求該Servlet時,則一般不會再實例化該Servlet類,這說明瞭什麼呢?簡單來說,當多個用戶一起訪問時,得到的其實是同一個Servlet實例,這樣的話,他們對實例的成員變量的修改其實會影響到別人,所以在開發的時候如果沒有註意這個問題往往會有一些額安全問題,而往往Servlet的線程安全問題主要是由於實例變量使用不當而引起

因此我們再看上面的代碼,很明顯我們看到瞭這個status狀態變量是實例變量,當然這裡為瞭突出並發的效果,這裡加瞭一個延時,這裡簡簡單單用python實現競爭,也不必上多線程瞭簡單點

url = "http://127.0.0.1:8080/?cmd=open -na Calculator"

while 1:
    r = requests.get(url)
    if "Cal" in r.text:
        print(r.text)

url = "http://127.0.0.1:8080/?cmd=ls"

while 1:
    r = requests.get(url)

如何修復

1.實現 SingleThreadModel 接口

該接口指定瞭系統如何處理對同一個Servlet的調用。如果一個Servlet被這個接口指定,那麼在這個Servlet中的service方法將不會有兩個線程被同時執行,當然也就不存在線程安全的問題。這種方法隻要繼承這個接口就行瞭,因此將我們上面的代碼改為

public class TestServlet extends HttpServlet implements SingleThreadModel

這樣你覺得就完全安全瞭嗎??答案也不是,如果我們將上面的對狀態的定義加上static呢

public static boolean status;

lol,還是可以成功,原因是SingleThreadModel不會解決所有的線程安全隱患。會話屬性和靜態變量仍然可以被多線程的多請求同時訪問

在這裡插入圖片描述

還有一點很重要該接口在Servlet API 2.4中將不推薦使用。

2.避免使用成員變量

既然問題出自成員變量,那麼我們就盡量避免去使用它

將上面的代碼改為

public class TestServlet extends HttpServlet{

//    public  boolean status;
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {
        boolean status = true;
        String cmd = req.getParameter("cmd");
        if (cmd.contains("Calculator")) {
            status = false;
            try {
                Thread.sleep(1000);
            }catch (Exception e){

            }
        }

        if (!status) {
            return;
        }
        if (cmd.contains("Calculator")){
            resp.getWriter().write(cmd);
        }
    }
}

3.同步對共享數據的操作

使用synchronized 關鍵字能保證一次隻有一個線程可以訪問被保護的區段,因此可以將代碼寫為

public class TestServlet extends HttpServlet{

    public  boolean status;
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {
        String cmd = req.getParameter("cmd");
        boolean status;
        synchronized(this) {
            status = true;

            if (cmd.contains("Calculator")) {
                status = false;
                try {
                    Thread.sleep(5000);
                } catch (Exception e) {

                }
            }
        }

        if (!status) {
            return;
        }
        if (cmd.contains("Calculator")){
            resp.getWriter().write(cmd);
        }
    }
}

思考與小結

但是如果利用上面三種方式去修復,這樣就完全沒問題瞭嗎?並不是

比如實現SingleThreadModel以及在程序中使用同步來保護要使用的共享的數據,在實際業務當中這也會使得我們系統的性能大大下降,這也是我們不太希望看到的,前者為每個新的請求創建一個單獨的Servlet實例,這將引起大量的系統開銷,而後者被同步的代碼塊在同一時刻也隻能有一個線程執行它,這也會導致在高並發的情況下,同時處理請求的吞吐量顯著的降低

因此,在Serlet中避免使用實例變量或許是更好的選擇,但如果無法避免,但如果無法避免,也應該盡量做到去同步可用性最小的代碼路徑

參考文章

https://www.cnblogs.com/chanshuyi/p/5052426.html

https://zhuanlan.zhihu.com/p/93708538

https://www.jianshu.com/p/06260e0667a9

到此這篇關於Servlet的線程安全問題 的文章就介紹到這瞭,更多相關Servlet 線程安全 內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: