在 dubbo 中使用 Threadlocal 的相关问题

起因

最近进入项目组开发，偶尔翻阅别人代码时，看到如下注释。

注：该ThreadLocalUtil 就是内部使用 ThreadLocal 内部静态变量。

刚看到时完全不解，不知道其为什么这么说。当同事跟我解释原因，豁然开朗。细想，我们在工作使用中，如果不注意很容易就忽略这个问题。 在解释这个问题先，我们先来查看 ThreadLocal。

ThreadLocal

ThreadLocal 提供线程局部(thread-local)变量,为每个线程创建单独的变量副本，这样在多线程环境的下，由于每个线程都有单独的变量，不会因为变量共享导致的并发问题。当然相关问题我可以们使用同步机制解决该问题。

同步机制跟 ThreadLocal 区别

使用同步机制，多线程环境共享同一变量，这需要我们在使用时显示加锁，保证变量在同一时间只有一个线程能使用，相当于采用时间策略换取线程安全。

使用 ThreadLocal，每个线程拥有自己独立变量副本，相当于采用空间策略换取线程安全。

我们从代码查看下两种方式的区别。现在假如我们需要当前一个时间工具类，如下：

 private final static SimpleDateFormat format = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");public static String getDateStr(Date date) {return format.format(date);} 

查看上面 Demo，我们很容易可以看出上面方法由于是 SimpleDateFormat 不是线程安全，从而导致 getDateStr 方法非线程安全。

现在我们使用同步对其改造。

 private final static SimpleDateFormat format = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");public static synchronized String getDateStrSync(Date date) {return format.format(date);} 

这样使用显示加锁，避免多线程环境下线程安全。但是这种方式可能在高并发情况影响效率。

下面使用 ThreadLocal 对其改造。

 private final static ThreadLocal<SimpleDateFormat> formatLocal = new ThreadLocal<SimpleDateFormat>() {protected synchronized SimpleDateFormat initialValue() {return new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");}};public static String getDateByLocal(Date date){return formatLocal.get().format(date);} 

使用 ThreadLocal，将共享变量变成独享变量，保证线程安全。但是该种方案增加创建对象的开销。

综上，如何选择上述两种方式，需要结合当前业务方式选择。

讲完 ThreadLocal，我们来看下的 dubbo 的线程模型。

dubbo 线程模型

dubbo 默认采用单一长连接加线程池方式处理调用。

默认采取 Dispatcher=all 的分发策略，所有消息都派发到线程池，包括请求，响应，连接事件，断开事件，心跳等。线程池在缺省配置为固定大小线程池，启动时建立线程，不关闭，一直持有。默认为100个线程。

分析在 Dubbo 中使用 ThreadLocal

在 Dubbo 中使用 ThreadLocal ，如果采用默认的设置，每次 Dubbo 调用结束，Dubbo 处理响应线程并不会被销毁， 而是归还到线程池中。而从 ThreadLocal 源码可以看出，每次我们设置的值其实会存在位于 Thread 中 ThreadLocalMap 变量中。

这就导致，下次如果 Dubbo 处理响应恰好继续使用到这个线程，该线程就能调用到上次响应中设置在 ThreadLocal 设置的值。这就引起内存泄露，可能还会导致业务上异常。其实并不止在 Dubbo 中，该案例还会发生在 web项目中，只要相关使用线程池的，都有可能发生。

Threadlocal 总结

使用 Threadlocal，我们需要注意几点：

1.使用 Threadlocal 需要跟使用相关流一样，需要最后显示调用其 remove 方法，清除其设置的值，防止引起内存泄露。 2.不能什么传参都使用 Threadlocal 在方法中上下传递，这样就会引起隐形耦合，而且相关代码并不好维护。 3.高并发中，我们可以使用 Threadlocal 代替同步锁，提高相关性能。

参考链接

1.【死磕Java并发】—–深入分析ThreadLocal 2.聊一聊Spring中的线程安全性 3.优雅的使用 ThreadLocal 传递参数 4.www.baeldung.com/java-thread… 5.www.cnblogs.com/youzhibing/… 6.dubbo 线程模型 7.How to shoot yourself in foot with ThreadLocals

---

如果觉得好的话，请帮作者点个赞呗~ 谢谢

网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础+操作系统+中间件+数据库，四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机使用等...

别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去B站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。 当然你也可以看下面这个视频教程仅展示部分截图： 学到http和https抓包后能读懂它在说什么就行。

2.网络基础和编程语言

3.入手Web安全

web是对外开放的，自然成了的重点关照对象，有事没事就来入侵一波，你说不管能行吗！ 想学好Web安全，咱首先得先弄清web是怎么搭建的，知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点，然后再学点python，起码得看懂部分代码吧。

最后网站开发知识多少也要了解点，不过别紧张，只是学习基础知识。

等你用几周的时间学完这些，基本上算是具备了入门合格渗透工程师的资格，记得上述的重点要重点关注哦！ 再就是，要正式进入web安全领域，得学会web渗透，OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握，像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。

这个过程并不枯燥，一边打怪刷级一边成长岂不美哉，每个攻击手段都能让你玩得不亦乐乎，而且总有更猥琐的方法等着你去实践。

学完web渗透还不算完，还得掌握相关系统层面漏洞，像ms17-010永恒之蓝等各种微软ms漏洞，所以要学习后渗透。可能到这里大家已经不知所云了，不过不要紧，等你学会了web渗透再来看会发现很简单。

其实学会了这几步，你就正式从新手小白晋升为入门学员了，真的不算难，你上你也行。

4.安全体系

不过我们这个水平也就算个渗透测试工程师，也就只能做个基础的安全服务，而这个领域还有很多业务，像攻防演练、等保测评、风险评估等，我们的能力根本不够看。

所以想要成为一名合格的网络工程师，想要拿到安全公司的offer，还得再掌握更多的网络安全知识，能力再更上一层楼才行。即便以后进入企业，也需要学习很多新知识，不充实自己的技能就会被淘汰。

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

尾言

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包，需要的小伙伴可以点击链接领取哦！ 网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！