Session的线程安全问题

最新推荐文章于 2023-07-08 16:55:13 发布
最新推荐文章于 2023-07-08 16:55:13 发布
阅读量1.1k 收藏 6
点赞数 1
分类专栏: Java 文章标签: java 多线程 session servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ordinary_brony/article/details/109909238
版权

文章目录

导读

服务器虽然能够为每一个会话维护一个Session,在一定程度上确保了线程安全,但是往往在一些细节上还是不能如愿地保证线程安全。这里将详细介绍线程不安全的情况。

HttpServletRequest源码

通过CTRL+鼠标左键,你找到了源码。(Tomcat相关的jar包有三个,直接找需要很久

先来看注释:

Extends the javax.servlet.ServletRequest interface to provide request information for HTTP servlets. The servlet container creates an HttpServletRequest object and passes it as an argument to the servlet's service methods(doGet, doPost, etc).

继承了ServletRequest类,为HTTP Servlet一共请求头信息。这个Servlet容器创建了一个HttpServletRequest对象并作为参数传递给Servlet的服务方法,比如doGet、doPost等。

非常清晰了吧?就算HttpServletRequest是一个接口,他在运行的时候还是创建了一个提供请求头信息的容器。而其中的getSession方法一共有两个,一个是带有create参数的方法,一个是无参方法。

首先是有参方法

public HttpSession getSession(boolean create)

他的注释是:传入true,就会在必要的时候为请求新建一个Session,返回值将会是与请求头相关联的HttpSession对象;而如果是false则会在当前没有Session的时候直接返回null,最后也会因为没有对应的有效对象直接返回null

而无参方法则是getSession(true)的调用。

HttpSession的源码

你似乎还是不明白这到底是怎么回事。于是,为了弄清楚getSession到底返回了个什么,你又找到了HttpSession的源码,然后发现他依然是一个接口。

老规矩,先来看看注释:

Provides a way to identify a user across more than one page request or visit to a Web site and to store information about that user.

提供了在多个页面请求中确认其中一个用户身份的方法,或者说是访问Web服务器并存储用户信息的方法。

说白了这就是实现了Session的功能。下面更是有一句你非常熟悉的:The session persists for a specified time period, across more than one connection or page request from the user.。相信不翻译大家也能明白HttpSession是个啥玩意了吧。

但是接口怎么实现?继续顺藤摸瓜,你找到了StandardSession,这部分参考了CSDN中digdeep的博客

而在StandardSession中,第一行就使用了ConcurrentHashMap作为容器存储信息。这是个什么?因为这又是一个大坑所以还是另外用一个单独的版块来进行阐述,点击这里查看ConcurrentHashMap详解。这里就直接说结论了:ConcurrentHashMapHttpSession保证了线程安全,这个是不容置疑的。

Session线程不安全的真正原因

事实上,Servlet本身不是线程安全的,就算你的Session再怎么线程安全,最后Servlet中修改变量值的时候永远都会出现问题。举个例子:

// 在Servlet中定义属性
private int count;
// 在Servlet中编写方法
public void add(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException, InterruptedException {
    // 属性修改
    count++;
    // 线程暂停,放大效果
    Thread.sleep(1000);
    // 输出结果
    System.out.println(Thread.currentThread().getName() + "count: " + count);
}
/**
 * 使用tomcat自带的JMETER压力测试工具模拟五次访问,输出结果就是这样:
 * http-bio-8080-exec-6 count: 5
 * http-bio-8080-exec-9 count: 5
 * http-bio-8080-exec-8 count: 5
 * http-bio-8080-exec-5 count: 5
 * http-bio-8080-exec-7 count: 5
 */

很明显,五次输出中四次都拿到了脏数据,这不是能够让系统中断的错误,这是逻辑错误,往往比编译器报错更让人头疼。会出现这种情况的原因有两点:

  • 容器只会创建一个Servlet实例,也就是说,这个Servlet中定义的所有变量,只会出现一次。
  • 容器收到请求之后,会启动一个线程来处理该请求。当有多个请求同时访问同一个Servlet值后,这只会出现一次的变量在被多个线程修改的时候就会出现线程安全问题。

所以这个问题实际上有点迷惑,真正线程不安全的并不是Session,而是Servlet

那么怎么解决呢?加上关键字synchronized

// 在Servlet中定义属性
private int count;
// 在Servlet中编写方法
public void add(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    // 加锁,this是指当前类
    synchronized (this) {
        count++;
        Thread.sleep(1000);
        System.out.println(Thread.currentThread().getName() + "count: " + count);
    }
}
/**
 * 使用tomcat自带的JMETER压力测试工具模拟五次访问,输出结果就是这样:
 * http-bio-8080-exec-5 count: 1
 * http-bio-8080-exec-9 count: 2
 * http-bio-8080-exec-7 count: 3
 * http-bio-8080-exec-8 count: 4
 * http-bio-8080-exec-6 count: 5
 */

现在就正常了。

虽然加锁能够避免线程安全问题,但是加锁会牺牲性能

所以尽量我们不要修改Servlet的属性。如果你使用了框架,相对应的就是Controller部分,尽量不要修改这些部分。

ordinary_brony
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java session 多线程_对于多线程Servlet以及Session的一些理解
weixin_39798497的博客
02-16 590
今天,小伙伴突然问到了Servlet是不是线程安全问题。脑子当时一卡壳,只想到了单实例多线程。这里做一些总结。Servlet体系是建立在Java多线程的基础之上的,它的生命周期是由Tomcat来维护的。当客户端第一次请求Servlet的时候,tomcat会根据web.xml配置文件实例化servlet,当又有一个客户端访问该servlet的时候,不会再实例化该servlet,也就是多个线程在使用...
SSM实战项目-员工管理系统 Spring+SpringMVC+MyBatis
m0_67393593的博客
06-12 708
JavaWeb实战之员工管理系统,一个完整的SSM整合项目,适用于刚学完SSM框架的伙伴,熟练一下SSM整合,融会贯通。基本的增删改查都有,功能比较完善。使用框架并不是很难,关键是要理解起底层原理,先技术,再思想。实践才能出真知。项目已发布,访问地址:登录界面[这里是图片001]http://www.hnist.xyz/账号:Admin密码:123456GitHub仓库地址:GitHub - BestCreater/SSM: Spring+SpringMVC+MyBatis员工管理系统Spring+Spri
Spring+Mybatis项目:人员管理系统
Java小白的自学之路
11-19 268
课程介绍: 开发环境配置: 项目结构: 配置和注解: 数据库设计: 建表语句: drop database if exists sm; create database sm; use sm; create table department( id int primary key auto_increment, name varchar(20) n...
javaweb回顾第六篇谈一谈Servlet线程安全问题
weixin_34097242的博客
07-24 113
前言:前面说了很多关于Servlet的一些基础知识,这一篇主要说一下关于Servlet线程安全问题。 1:多线程Servlet模型 要想弄清Servlet线程安全我们必须先要明白Servlet实例是如何创建,它的模式是什么样的。 在默认的情况下Servlet容器对声明的Servlet,只创建一个Servlet实例,那么如果要是多个客户同时请求访问这个ServletServlet容器就采...
Spring中的Controller和Service是线程安全的吗?我有点懵
weixin_43398645的博客
07-08 114
1、在@Controller/@Service等容器中,默认情况下,scope值是单例-singleton的,也是线程不安全的。2、尽量不要在@Controller/@Service等容器中定义静态变量,不论是单例(singleton)还是多实例(prototype)他都是线程不安全的。3、默认注入的Bean对象,在不设置scope的时候他也是线程不安全的。4、一定要定义变量的话,用ThreadLocal来封装,这个是线程安全的。
iOS中多网络请求的线程安全详解
08-29
本文将深入探讨如何在iOS环境中有效地处理多网络请求的线程安全问题,并介绍几种常见的解决方案及其优缺点。 首先,我们可以使用`DispatchGroup`来管理多个网络请求。`DispatchGroup`是GCD(Grand Central Dispatch...
Hibernate用ThreadLocal模式(线程局部变量模式)管理Session
08-26
同时,由于SessionFactory的线程安全性,我们可以放心地在多个线程中创建和关闭Session,而不用担心线程安全问题。 总的来说,ThreadLocal模式在Hibernate中用于管理Session,解决了多线程环境下Session的共享问题...
java开发常见问题
09-08
java开发工作两年遇到的技术问题以及查找到的解决方案还有一些积累,涉及前端技术,android开发,java后台以及数据库sql优化,session共享,单点登录,kafka入门,websocket,线程安全等。
ASP.NET Core-Session
10-03
谨慎处理并发操作,确保线程安全。 综上所述,ASP.NET Core Session是管理用户会话状态的关键工具,通过合理配置和使用,可以提高Web应用的功能性和用户体验。结合Redis等外部存储,还能实现分布式会话,适应大规模...
Session渗透类
10-19
Session渗透通常涉及到系统安全和权限管理,因为它允许服务进程(通常运行在高权限级别)与用户界面进行交互,这在某些情况下可能是必要的,但在其他情况下可能被滥用,对系统的安全性构成威胁。 描述中提到的"使用...
Spring整合MyBatis-Plus完整案例(含项目代码)
琼楼玉宇
07-03 1224
通过一个简单的 Demo 来阐述 MyBatis-Plus 的强大功能, 步骤是这样,结果是那样: 1、 准备我们要访问的数据表,我用的是mysql . 2、添加依赖 3、制作自动生成代码类。 4、测试mapper获取数据。 这里我们先准备一个简单的数据表。 DROP TABLE IF EXISTS user; CREATE TABLE user ( id BIGINT(20) NOT NULL COMMENT '主键ID', name VARCHAR(30) NULL DEFA.
session的安全问题
m0_55306747的博客
05-16 2691
有个疑问,据说是session身份验证比cookie身份验证更安全,因为session安全验证是存储在服务器,但是服务器仍然是需要去读取存储用户浏览器中的session id,然后依照这个session id去寻找session,这和读取cookie比起来,感觉也安全不到哪里去啊,我如果获取了目标的session id,不是照样可以伪造身份吗?你把session信息存储在服务端又安全在哪里呢? 刚刚查了一下,相关的资料,得出了确实两种方法都半斤八两,安全性差不多的结论,以下摘抄自某文章 (没错,其实
Tomcat session的实现:线程安全与管理
xingduan5153的博客
05-20 528
本文所说的session是单机版本的session, 事实上在当前的互联网实践中已经不太存在这种定义了。我们主要讨论的是其安全共享的实现,只从理论上来讨论,不必太过在意实用性问题。 1. session 的意义简说 大概就是一个会话的的定义,客户端有cookie记录,服务端session定义。用于确定你就是你的一个东西。 每个用户在一定范围内共享某个session信息,以实现登录状态,操作的鉴权保...
session的安全性问题
brook_的博客
07-10 5893
转载地址:https://blog.csdn.net/u013205877/article/details/77512180 没有绝对的安全! 1.cookie 我们都知道Http是一种无状态性的协议,这种协议不要求浏览器在每次请求中标明他自己的身份,每次发个请求回个相应就完事了,那怎么校验发请求的人的身份呢,这就催生了Cookies. 本质上Cookies就是http的一个扩展...
如何构建mybatis线程安全的sqlsession对象
chenwen_201116040110的专栏
07-14 5231
现象1:如果使用原生mybatis进行数据操作,那么必须按照以下方式使用: 12345678910111213SqlSession sqlSession = null;try {     sqlSession = sqlSessionFactory.openSession();     //nam
通俗解释Hibernate中SessionFactory和Session是否是线程安全对象
chenggang_zh的博客
03-17 5744
 *******************************************************************   SessionFactory接口负责Hibernate的初始化和建立Session对象。   它在Hibernate中起到一个缓冲区作用. Hibernate可以将自动生成的SQL语句、映射数据以及某些可重复利用的的数据放在这个缓冲区中。同时它还保存了对数据...
tomcat线程安全
最新发布
05-31
2. Tomcat中的Session对象也是线程安全的,它可以在多个线程中被同时访问,而不会出现数据竞争的问题。 3. 在Tomcat中,对于同一个Session对象的多个请求,Tomcat会保证它们在同一个线程中被处理,这样可以避免多个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ordinary_brony

代码滞销,救救码农

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值