1.变量的线程安全
Servlet 的线程安全问题主要是由于实例变量使用不当而引起的。
例3.6:变量的线程安全
该Servlet 中定义了一个实例变量out,在service()方法中为其赋值。当一个用户访问该Servlet 时,程序会正常地运行,但当多个用户并发访问时,就可能会出现其他用户的信息显示在另外一些用户的浏览器上的问题。这是一个严重的问题。为了突出并发问题,便于测试、观察,在输出用户信息之前执行了一个延时的操作。假设已在web.xml 配置文件中注册了该Servlet,现有两个用户zhangsan 和lisi 同时访问该Servlet(可以启动两个IE 浏览器,或者在两台机器上同时访问),即同时在浏览器地址栏输入。
用户“zhangsan”输入。
用户“lisi”输入:
如果用户lisi 比用户zhangsan 敲回车的时间稍慢一点,将得到如图3.26 所示的输出效果。
图3.26 用户zhangsan 和用户lisi 的浏览器输出
从图3.26 中可以看到,Web 服务器启动了两个线程分别处理来自用户zhangsan 和用户lisi 的请求,但是在用户zhangsan 的浏览器上却得到一个空白的屏幕,用户zhangsan的信息显示在用户lisi 的浏览器上。该Servlet 存在线程不安全问题。下面就从分析该实例的内存模型入手,观察不同时刻实例变量out的值来分析使该Servlet线程不安全的原因。
Java 的内存模型JMM(Java Memory Model)主要是规定了线程和内存之间的一些关系。根据JMM 的设计,系统存在一个主内存(Main Memory),简称为主存,Java 中所有实例变量都储存在主存中,对于所有线程都是共享的。每条线程都有自己的工作内存(Working Memory),工作内存由缓存和堆栈两部分组成,缓存中保存的是主存中变量的拷贝,缓存可能并不总和主存同步,也就是缓存中变量的修改可能没有立刻写到主存中;堆栈中保存的是线程的局部变量,线程之间无法相互直接访问堆栈中的变量。根据JMM,可以将课程中所讨论的Servlet 实例的内存模型抽象为图3.27 所示的模型。
图3.27 Servlet 实例的JMM 模型
下面根据图3.27 所示的内存模型,来分析当用户zhangsan 和lisi 的线程(简称为zhangsan 线程、lisi 线程)并发执行时,Servlet 实例中所涉及变量的变化情况及线程的执行情况,见表3.3。
表3.3 Servlet 实例的线程调度情况
从表3.3 中可以清楚的看到,由于lisi 线程对实例变量out 的修改覆盖了zhangsan线程对实例变量out 的修改,从而导致了用户zhangsan 的信息显示在了用户lisi 的浏览器上。如果在zhangsan 线程执行输出语句时,lisi 线程对out 的修改还没有刷新到主存,那么将不会出现如图3.26 所示的输出结果。虽然这只是一种偶然现象,但更增加了程序潜在的危险性。
通过上面的分析,知道了实例变量不正确的使用是造成Servlet 线程不安全的原因。下面针对该问题给出了三种解决方案,并对方案的选取给出了一些参考性的建议。(www.chuimin.cn)
(1)实现SingleThreadModel 接口
javx.servlet.SingleThreadModel 接口没有任何的方法,它是一个标识接口。如果一个Servlet 实现了这个接口,Servlet 容器将保证在一个时刻仅有一个线程可以在给定的Servlet 实例的service()方法中执行,所以也就不存在线程安全问题。
这种方法只要将前面的Security 类的类头定义更改为:
(2)同步对共享数据的操作
使用synchronized 关键字能保证一次只有一个线程可以访问被保护的区段,在这里的Servlet 可以通过同步块操作来保证线程的安全。同步后的代码如下:
(3)避免使用实例变量
例3.6 中的线程安全问题是由实例变量造成的,只要在Servlet 中的任何方法里面都不使用实例变量,那么该Servlet 就是线程安全的。修正上面的Servlet 代码,将实例变量改为局部变量实现同样的功能,代码如下:
对上面的三种方法进行测试,可以表明用它们都能设计出线程安全的Servlet 程序。但是,如果一个Servlet 实现了SingleThreadModel 接口,Servlet 引擎将为每个新的请求创建一个单独的Servlet 实例,这将引起大量的系统开销。SingleThreadModel 在Servlet2.4 中已不再提倡使用;同样如果在程序中使用同步来保护要使用的共享的数据,也会使系统的性能大大下降。这是因为被同步的代码块在同一时刻只能有一个线程执行它,使得其同时处理客户请求的吞吐量降低,而且很多客户处于阻塞状态。另外为保证主存内容和线程的工作内存中的数据的一致性,要频繁地刷新缓存,这也会大大影响系统的性能。所以在实际的开发中也应避免或最小化Servlet 中的同步代码;在Serlet 中避免使用实例变量是保证Servlet 线程安全的最佳选择。从Java 内存模型也可以知道,方法中的临时变量是在栈上分配空间,而且每个线程都有自己私有的栈空间,所以它们不会影响线程的安全。
2.属性的安全
在Servlet 中,可以访问保存到ServletContext、HttpSession 和ServletRequest对象中的属性,这三种对象都提供了getAttribute()和setAttribute()方法用于读取和设置属性。那么这三种不同范围的对象的属性访问为何是线程安全的呢?
➢ ServletContext
ServletContext 对象可以被Web 应用程序中所有的Servlet 访问,多个线程可以同时在Servlet 上下文中设置或者读取属性,这将导致存储数据的不一致。所以,ServletContext 属性的访问不是线程安全的。为了避免出现问题,可以对会被许多程序访问的属性进行同步,或者对其产生一个拷贝。但要注意的是,进行同步将造成性能的瓶颈,而拷贝方式的应用,如果访问量比较大,将导致开销的增加。在实际应用中,应该根据具体情况,采用合理的方式。应该合理地设计系统,在Servlet 上下文中只保存不经常需要修改的数据,而对经常需要修改的数据,则采用另外的方式在多个Servlet 中共享。
➢ HttpSession
HttpSession 对象在用户会话期间存活,它不像ServletContext 对象,可以在Web应用程序的所有线程中被访问,HttpSession 对象只能在处理属于同一个Session 的请求的线程中被访问。可以认为在一个时刻只有一个用户请求,因此,Session 对象的属性访问是线程安全的。然而,事实并非如此。一个用户可以打开多个同属于一个进程的浏览器窗口,在这些窗口中的访问请求,属于同一个Session,为了同时处理多个这样的请求,Servlet 容器会创建多个线程,而在这些线程中,就可以同时访问到Session 对象的属性。要避免这个问题,可以对Session 的访问进行同步。
➢ ServletRequest
因为Servlet 容器对它所接收到的每一个请求,都创建一个新的ServletRequest 对象,所以ServletRequest 对象只在一个线程中被访问。因为只有一个线程服务请求,所以请求对象的属性访问是线程安全的。要注意的是,ServletRequest 对象是作为参数传进Servlet 的service()方法中的,在service()方法的范围内,该请求是有效的,不要试图在service()方法结束后,仍然保存请求对象的引用,如果那样的话,请求对象的行为将是不可预料的。
Servlet 的线程安全问题只有在大量的并发访问时才会显现出来,并且很难发现,因此在编写Servlet 程序时要特别注意。线程安全问题主要是由实例变量造成的,因此在Servlet 中应避免使用实例变量。如果应用程序设计无法避免使用实例变量,那么使用同步来保护要使用的实例变量,但为保证系统的最佳性能,应该同步可用性最少的代码。
有关Java Web应用开发的文章
Servlet 体系结构是建立在Java 多线程机制之上的,它的生命周期是由Web 容器负责管理的。当有新的客户端请求该Servlet 时,一般不会再实例化该Servlet类,也就是有多个线程在使用这个实例。Servlet 容器会自动使用线程池等技术来支持系统的运行。图3.24调度者线程选取一个工作者线程来服务请求但是,当两个或多个线程同时访问同一个Servlet 时,可能会发生多个线程同时访问同一Servlet 的情况,如图3.25 所示。图3.25两个工作者线程同时执行一个Servlet 的service()方法......
2023-11-21
关注我微信朋友圈的人都知道,我在不遗余力地解决交通安全事故问题。再后我又遇到了问题,交通安全工程的施工单位也不买账,因为会破坏他们原有的利益链。但是,有价值的创新技术成果不能应用于交通安全,是我们的大的交通安全目标出了问题。公安部甚至于公开发布二千多种型号的货车是杀手货车,这都是因为体制与机制,交通安全的目标出了问题。我到韩国、德国等国家交流的时候,他们告诉我研究交通标志这件事情挺伟大的。......
2023-11-23
数据存储的安全问题还包含一个经常被忽视的问题,即数据残留问题。数据残留是指存储在介质上的数据在被以某种方法进行删除或移动后,在介质内留下的一些物理残余。即在云计算环境中,数据残留有可能会无意泄露用户敏感信息给未授权的用户。该系统在用户指定的时刻会将相关的可执行文件及数据文件等进行销毁。总之,关于数据残留问题在目前还缺乏相应的彻底解决方案,即在物理层还缺乏必要的数据销毁机制。......
2023-11-18
云计算是一个复杂的庞大系统,其安全问题涉及面非常广泛。共有云的多租赁特性增加了安全的风险。云计算的网络架构面临不同的攻击和安全问题,如注入攻击、浏览器安全问题、泛洪攻击、不完整数据删除、数据保护和XML签名等。......
2023-11-18
Java Servlet是一个基于Java 技术的Web 组件,运行在服务器端,由Servlet 容器所管理,用于生成动态的内容。Servlet 是平台独立的Java类,编写一个Servlet,实际上就是按照Servlet 规范编写一个Java 类。目前Servlet 最新的版本是Servlet 4.0。进程外Servlet 容器对客户请求的响应速度不如进程内的Servlet 容器,但进程外容器具有更好的伸缩性和稳定性。......
2023-11-21
青少年因为网络交友而引发离家出走或被侵害的问题,其背后根源还是与家庭教育和成长环境有关。青少年在网络交友中一定要加强安全意识,尤其是涉及约见网友。有的孩子甚至为见网友而离家出走,发生在青少年身上的网络诈骗事件也屡见不鲜。对于孩子的上网问题,父母不但要限制时间,更要把关内容,并不是不让孩子接触网络,而是要理智地选择,有效地避免,最好的方法是疏而不堵。......
2023-11-26
历史上,殖民势力都是由泰国湾对沿海各国实施侵略。海盗、海上抢夺、走私、非法移民和贩毒是泰国湾航行安全面临的主要问题。以海盗为例,20世纪90年代泰国湾海盗问题猖獗。[20]此外,气候变化也是泰国湾面临的一个新的非传统安全问题。[21]目前,泰国湾国家针对传统安全问题采取了一些措施,例如采取双边合作巡逻的方式打击海盗,但是,由于覆盖面和长效制度不完善,不足以打击泰国湾海域的海盗和海上违法犯罪问题。......
2023-08-03
例2.1:Servlet 版的“Hello World”。图2.2填写包名包建立好之后,就在此包中建立Servlet 类。图2.4填写Servlet 信息单击“Next > Next >”按钮,将显示如图2.5 所示的窗体。HelloWorldServlet 类的代码如下:从HelloWorldServlet 类的代码可以看出,Servlet 继承了HttpServlet 类。HttpServlet 类用于创建一个适用于Web 站点并支持HTTP 协议的Servlet。表2.1HttpServlet 类的常用方法在HelloWorldServlet 类中,默认重写了HttpServlet 类中的doGet()、doPost()以及init()和destory()等方法。要通过Servlet 输出“Hello World”也需要使用输出流对象的println()或者print()方法。图2.7第一个Servlet 程序运行效果......
2023-11-21
相关推荐