Servlet和JSP的安全執行緒問題

最後更新：2018-12-04 來源：互聯網

上載者：User

創建阿里雲帳戶，並獲得超過 40 款產品的免費試用版；而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊！

編寫Servlet和JSP的時候,安全執行緒問題很容易被忽略,如果忽視了這個問題,你的程式就存在潛在的隱患.

1.Servlet的生命週期
Servlet的生命週期是由Web容器負責的,當用戶端第一次請求Servlet時,容器負責初始化Servlet,也就是執行個體化這個Servlet類.以後這個執行個體就負責用戶端的請求,一般不會再執行個體化其他Servlet類,也就是有多個線程在使用這個執行個體.Servlet之所以比CGI效率高就是因為Servlet是多線程的.如果該Servlet被聲明為單執行緒模式的話,容器就會維護一個執行個體池,那麼將存在多個執行個體.

2.Servlet的安全執行緒
Servlet規範已經聲明Servlet不是安全執行緒的,所以在開發Servlet的時候要注要這個問題.這裡以一個現實的模型來說明問題,先定義一個Servlet類,再定義一個SmulateMultiThread類和WebContainer類.
import javax.servlet.http.HttpServlet;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

//該類類比多線程Servlet的情況
public class SmulateMultiThread implements Runnable{
public SmulateMultiThread() {
}
public static void main(String[] args) {
   //處理100個請求
    for(int i=0;i<100;i++)
    {
      new Thread(new SmulateMultiThread()).start();
    }
}
public void run() {
    HttpServletRequest request=null;
    HttpServletResponse response=null;
    try {
      WebContainer.getServlet().doGet(request, response);
    }
    catch (IOException ex) {
    }
    catch (ServletException ex) {
    }
}
}
//這是一個Servlet類
class UnsafeServlet extends HttpServlet{
private String unsafe;
public void init() throws ServletException {
}
//Process the HTTP Get request
public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    unsafe=Thread.currentThread().getName();
    System.out.println(unsafe);
}
}
//這個是容器類
class WebContainer{
private static UnsafeServlet us=new UnsafeServlet();
public static UnsafeServlet getServlet(){
    return us;
}
}
輸出了100不同的線程名稱,如果有100個請求同時被這個Servlet處理的話,那麼unsafe就可能有100種去值,最後用戶端將得到錯誤的值.比如客戶1請求的線程名為thread-1,但是返回給他的可能是thread-20.表現在現實中就是,我登陸的使用者名稱是user1,登陸後變成了user2.
那麼怎樣才能是Servlet安全呢,凡是多個線程可以共用的就不要使用(執行個體變數+類變數),就這麼簡單.也可以使用synchronized同步方法,但是這樣效率不高,還可以使用單執行緒模式,這樣的話效率就更低了,100個請求同時來的時候就要執行個體化100個執行個體.
方法中的臨時變數是不會影響安全執行緒的,因為他們是在棧上分配空間,而且每個線程都有自己私人的棧空間.

3.JSP中安全執行緒
JSP的本質是Servlet,所有只要明白了Servlet的安全問題,JSP的安全問題應該很容易理解.使用<%! %>聲明的變數是Servlet的執行個體變數,不是安全執行緒的,其他都是安全執行緒的.
<%! String unsafeVar; %> //不是安全執行緒的
<% String safeVar; %> // 安全執行緒的

總結:安全執行緒問題主要是由執行個體變數造成的,不管在Servlet還是JSP,或者在Struts的Action裡面,不要使用執行個體變數,任何方法裡面都不要出現執行個體變數,你的程式就是安全執行緒的.

本文章原先以中文撰寫並發佈於 aliyun.com，亦設英文版本，僅作資訊用途。本網站不對文章的準確性，完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴，請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡，一經驗證之後，即會刪除該侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

Sales Support

1 on 1 presale consultation

Chat Contact Sales
After-Sales Support

24/7 Technical Support 6 Free Tickets per Quarter Faster Response

Open a Ticket
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

Learn More