转载

Servlet JSP线程学习

编写Servlet JSP的时候,Servlet JSP线程安全问题很容易被忽略,如果忽视了这个问题,你的程序就存在潜在的隐患。

1.Servlet的生命周期

Servlet的生命周期是由Web容器负责的,当客户端第一次请求Servlet时,容器负责初始化Servlet,也就是实例化这个Servlet类。以后这个实例就负责客户端的请求,一般不会再实例化其他Servlet类,也就是有多个线程在使用这个实例。Servlet之所以比CGI效率高就是因为Servlet是多线程的。如果该Servlet被声明为单线程模型的话,容器就会维护一个实例池,那么将存在多个实例。

2.Servlet的线程安全

Servlet规范已经声明Servlet不是线程安全的,所以在开发Servlet的时候要注要这个问题。这里以一个现实的模型来说明问题,先定义一个Servlet类,再定义一个SmulateMultiThread类和WebContainer类。

  1. importjavax.servlet.http.HttpServlet;  
  2. importjavax.servlet.ServletException;  
  3. importjavax.servlet.http.HttpServletRequest;  
  4. importjavax.servlet.http.HttpServletResponse;  
  5. importjava.io.IOException;  
  6. //该类模拟多线程Servlet的情况  
  7. publicclassSmulateMultiThreadimplementsRunnable{publicSmulateMultiThread(){  
  8. }  
  9. publicstaticvoidmain(String[]args){  
  10. //处理100个请求for(inti=0;i<100;i++){  
  11. newThread(newSmulateMultiThread()).start();  
  12. }  
  13. }  
  14. publicvoidrun(){  
  15. HttpServletRequestrequest=null;  
  16. HttpServletResponseresponse=null;  
  17. try{  
  18. WebContainer.getServlet().doGet(request,response);  
  19. }  
  20. catch(IOExceptionex){  
  21. }  
  22. catch(ServletExceptionex){  
  23. }  
  24. }  
  25. }  
  26. //这是一个Servlet类classUnsafeServletextendsHttpServlet{  
  27. privateStringunsafe;publicvoidinit()throwsServletException{  
  28. }  
  29. //ProcesstheHTTPGetrequestpublicvoiddoGet(HttpServletRequestrequest,
    HttpServletResponseresponse)throwsServletException,IOException{  
  30. unsafe=Thread.currentThread().getName();  
  31. System.out.println(unsafe);  
  32. }  
  33. }  
  34. //这个是容器类classWebContainer{  
  35. privatestaticUnsafeServletus=newUnsafeServlet();  
  36. publicstaticUnsafeServletgetServlet(){returnus;  
  37. }  

输出了100不同的线程名称,如果有100个请求同时被这个Servlet处理的话,那么unsafe就可能有100种去值,最后客户端将得到错误的值。比如客户1请求的线程名为thread-1,但是返回给他的可能是thread-20。表现在现实中就是,我登陆的用户名是user1,登陆后变成了user2。

那么怎样才能是Servlet安全呢,凡是多个线程可以共享的就不要使用(实例变量+类变量),就这么简单。也可以使用synchronized同步方法,但是这样效率不高,还可以使用单线程模型,这样的话效率就更低了,100个请求同时来的时候就要实例化100个实例。

方法中的临时变量是不会影响线程安全的,因为他们是在栈上分配空间,而且每个线程都有自己私有的栈空间。

3.Servlet JSP线程安全

JSP的本质是Servlet,所有只要明白了Servlet的安全问题,JSP的安全问题应该很容易理解。使用声明的变量是Servlet的实例变量,不是线程安全的,其他都是线程安全的。

总结:Servlet JSP线程主要是由实例变量造成的,不管在Servlet还是JSP,或者在Struts的Action里面,不要使用实例变量,任何方法里面都不要出现实例变量,你的程序就是线程安全的。

正文到此结束
Loading...