synchronized方法的安全问题

最新推荐文章于 2023-01-09 14:26:20 发布
最新推荐文章于 2023-01-09 14:26:20 发布
阅读量567 收藏 1
点赞数
文章标签: java
原文链接:https://my.oschina.net/u/1413984/blog/809486
版权

1      常见问题

synchronized方法是一种常用的线程同步方法,在我们代码中多处使用。但是使用不当的情况下容易引入安全问题,因此《Java编码安全Checklist_V2.0》中专门设置了一个检查项:

与非信任代码交互的类的同步操作要使用私有的、无法被非信任代码访问与修改的锁

举例如下:

1)SomeObject类中定义了一个同步方法changeValue()。

public class SomeObject

{

    // Locks on the object's monitor

    public synchronized void changeValue()

    {

        // . . .

    }

}

 

2)非信任代码通过某种方法获取到了一个SomeObject对象,对其加锁,并且长期持有该锁。

// Untrusted code

SomeObject theObject = getTheObject();

synchronized (someObject)

{

    while (true)

    {

        // Indefinitely delay someObject

        Thread.sleep(Integer.MAX_VALUE);

    }

}

 

3)其他代码在调用该对象的changeValue方法时无法获取锁,将长期被阻塞。

// Trusted code

SomeObject theObject = getTheObject();

theObject.changeValue();  //调用对象的同步方法时,需要先获取对象锁。

2     修改方法

2.1     最小化暴露

一般来说,同一个package中的代码可以认为是可信任的。

如果一个类只是供同一个package中的代码访问,那么该类声明为default就够了(即不加任何访问控制符),不需要声明为public,这样就天然解决了这个问题。

说句题外话,我们在编码时经常习惯性的把所有的类都声明为public,实际上大多数类都不需要这么大的访问权限,我们应该根据实际情况来选择合适的访问控制符,做到最小化暴露。

附:访问控制级别表:

 

private

default

protected

public

同一个类中

Yes

Yes

Yes

Yes

同一个包中

 

Yes

Yes

Yes

子类中

 

 

Yes

Yes

全局范围内

 

 

 

Yes

2.2     使用私有锁对象

如果使用同步方法的类确实需要声明为public,可以使用私有锁对象习语(private lock object idiom)来进行同步。该习语使用类中声明的私有不变(private final)java.lang.Object实例所关联的隐式锁来代替类对象本身的隐式锁。这个习语要求在类方法中使用同步块而不是使用同步方法。因为敌对类不能访问这个私有不变锁对象,因此它没法与该类中的方法进行锁竞争。当一个类可能与非信任代码交互时,使用私有不变锁对象对这个类中的代码做同步。

public class SomeObject

{

    private final Object lock = new Object(); // private final lock object

   

    public void changeValue()

    {

        synchronized (lock)

        {

            // Locks on the private Object

            // ...

        }

    }

}

转载于:https://my.oschina.net/u/1413984/blog/809486

chunconghui7899
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决线程安全问题方法
12-21
- **获取锁**:在可能产生线程安全问题的代码之前调用`lock()`方法。 - **释放锁**:在安全代码执行完毕后调用`unlock()`方法。 在实际开发中,应根据需求选择合适的线程同步策略。同步代码块和同步方法简单易用...
浅谈synchronized方法对非synchronized方法的影响
08-29
浅谈synchronized方法对非...synchronized方法对非synchronized方法的影响是非常大的,它可以保证线程安全,但也需要注意到性能问题。在实际开发中,我们需要根据具体情况,选择合适的同步机制,以保证线程安全和性能。
你以为用synchronized就一定线程安全吗?
05-18 1594
synchronized方法进行同步,还真不一定线程安全,来看个简单的例子 上面的代码运行出来的结果: 看到没,并不是2000000,那么为什么f1和f3方法都用了synchronized关键字,然而并没有达到我们需要的结果呢?这需要从synchronized的原理开始讲起。 synchronized关键字有下面三种用法: 修饰实例方法:对当前实例加锁,进入方法需要获...
线程安全 知识点(synchronized
Dwayne的博客
06-06 272
1 出现线程安全问题的条件 1)是否多线程环境 2)是否有共享数据 3)是否有多条语句操作共享数据 1)2)没法儿改,只能改3):把多条语句包成一个整体,让某个线程执行的时候其它线程不能进去执行 --> 同步机制。 2 同步(synchronized) 2.1 同步 代码块 synchronized(对象){需要同步的代码} 注:同步可以解决安全问题的根本就在这个“对象”上,该对象如同...
java线程同步之synchronized
huangzihao100的专栏
07-31 403
总结: 1、synchronized关键字的作用域有二种: 1)是某个对象实例内,synchronized aMethod(){}可以防止多个线程同时访问这个对象的synchronized方法(如果一个对象有多个synchronized方法,只要一个线程访问了其中的一个synchronized方法,其它线程不能同时访问这个对象中任何一个synchronized方法)。这时,不同的对象实例的s
Synchronized解决线程不安全
qq_2192330908的博客
03-29 209
目录 一、线程不安全的三个示例 二、synchronized关键字 三、解决线程不安全 四、总结 一、线程不安全的三个示例 1、买票问题:该情况下很容易出现同一张票被重复购买,是线程不安全的。 package syn; public class UnsafeBuyTicket { public static void main(String[] args) { ...
Java EE——线程不安全原因和synchronized用法详解
m0_60867520的博客
09-13 282
线程不安全的原因,synchronized关键字的7种不同写法的演示与解释
Java中synchronized正确使用方法解析
08-25
Java 中 synchronized 关键字是解决线程安全问题的重要手段,它可以确保在多线程环境下,共享资源的访问安全性。本文将详细介绍 Java 中 synchronized 的正确使用方法,通过示例代码和实践案例,帮助读者深入理解 ...
实例解析Java中的synchronized关键字与线程安全问题
09-02
2. **synchronized方法**: - 形式:`public synchronized void method() { // 代码 }` - 锁定范围:整个方法,锁对象为调用该方法的对象。 - 作用:防止多个线程同时执行同一对象的该方法。 3. **synchronized...
Java使用synchronized修饰方法来同步线程的实例演示
09-02
- **synchronized方法**:在方法声明前加上synchronized关键字,使得整个方法成为同步方法。所有调用该方法的线程都需要获取对象锁才能执行。 - **synchronized代码块**:使用`synchronized(obj){...}`结构,其中...
java锁升级都是在安全点吗_Java并发编程之synchronized详解(锁优化、锁升级)
weixin_39940901的博客
02-28 182
1 线程安全1.1 什么是线程安全问题“线程安全”相信稍有经验的程序员都会听说过,但是如何描述线程安全呢?在网上查到以下两点比较符合线程安全的定义:如果一个对象可以安全地被多个线程同时使用,那它就是线程安全的当多个线程访问同一个对象时,如果不用考虑这些线程在运行时环境下的调度和交替执行,也不需要进行额外的同步,或者在调用方进行任何其他的协调操作,调用这个对象的行为都可以获得正确的结果,那么这个对象...
Synchronized Lock 锁 同步
qq_30436011的博客
04-25 3149
如果锁的是类对象的话,尽管new多个实例对象,但他们仍然是属于同一个类依然会被锁住,即线程之间保证同步关系。 字符串作为锁对象的参考 一、synchronized的性质 1、可重入性 官方解释:指的是同一线程的外层函数获得锁之后,内层函数可以直接再次获得该锁; 通俗解释:获得一次锁之后,如果调用其它同步方法,不需要重新获取锁,可以直接使用; 在方法1中调用方法2,两个方法都是同步方法,在获取方法1的锁之后,是可以直接调用方法2,而不需要重新获取锁,这就是可重入性,可重入性是线程范围,可以...
JavaScript专项练习(二)
kiku
10-10 2838
1、以下代码执行后,控制台的输出是: var a = 10; function a(){} console.log(typeof a) 答案:"number",解析: 函数提升优先级高于变量提升,所以代码等价于 function a(){} var a; a = 10; console.log(typeof a) 那如果这里使用关键词let呢,代码变为 let a = 10 function a () {} console.log(typeof a) 这里明显会报错。前面提到,函数声明会优先于变量声明
【C++】 22_对象的销毁
weixin_34406061的博客
12-24 462
对象的销毁 生活中的对象都是被初始化后才上市的 生活中的对象被销毁前会做一些清理工作 问题: C++ 中如何清理需要销毁的对象呢? 一般而言,需要销毁的对象都应该做清理 解决方案 为每个类提供一个 public 的 free 函数 对象不再需要时调用 free 函数进行清理 class Test { private: ...
几种常用的Web安全认证方式
一只猿的自我修养
05-26 2万+
1. Http Basic Auth 这是一种最古老的安全认证方式,这种方式就是简单的访问API的时候,带上访问的username和password,由于信息会暴露出去,所以现在也越来越少用了,现在都用更加安全保密的认证方式,可能某些老的平台还在用。 如下图所示,弹出一个框,让你填写用户名密码。这就是Tomcat自带的HTTPBasic认证。 当用户名密码输入错误后,会返回401 Una...
如何替换 if (someobject != null), 实现判空
qq_43663493的博客
05-07 139
今天刷着有关技术方面微信订阅号的帖子,是有关避免空指针调用的,说实话没有看这个帖子之前我还真没有想过有关 if (someobject != null) 这样的语句会有什么不好判空后在进行相关的功能实现这个是我们常用的啊!这篇文章记录一下该种使用希望之后对自己有帮助。 然后用工厂模式的使用来体验一下。 public interface Shape { void draw(); } public class Circle implements Shape{ @Override pu
代码审计[java安全编程]
0x00的博客
06-27 8764
SQL注入 介绍 注入攻击的本质,是程序把用户输入的数据当做代码执行。这里有两个关键条件,第一是用户能够控制输入;第二是用户输入的数据被拼接到要执行的代码中从而被执行。sql注入漏洞则是程序将用户输入数据拼接到了sql语句中,从而攻击者即可构造、改变sql语义从而进行攻击。 漏洞示例一:直接通过拼接sql @RequestMapping("/SqlInjection/{id}") public...
蚂蚁金服面试题及答案-总结
热门推荐
laidanlove250的博客
11-05 5万+
前言 相信有人在网上看到过一样的题,这里我也是从某篇公众号把题抄下来,答案都是笔者自己在网上搜的,适合即时回答,所以很多知识没有引入太深。 题目出自:http://www.54tianzhisheng.cn/2018/07/30/alipay01/, http://www.54tianzhisheng.cn/2018/07/31/alipay02/ 一面 1、自我介绍、自己做的项目和技术领域 ...
使用synchronized解决线程安全问题
m0_65431718的博客
01-09 8261
synchronized实现线程安全的解释
synchronized修饰方法
最新发布
08-26
使用synchronized修饰方法可以确保多个线程在执行该方法时不会产生竞态条件(race condition),从而保证了方法的原子性和线程的安全性。 以下是一个示例: ```java public synchronized void synchronizedMethod...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值