单例模式中存在的安全问题

最新推荐文章于 2022-11-15 15:27:01 发布
最新推荐文章于 2022-11-15 15:27:01 发布
阅读量609 收藏 1
点赞数
分类专栏: 设计模式 文章标签: 设计模式 单例模式 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18941713/article/details/109486558
版权

文章目录

线程安全问题

双重校验锁

public class Singleton {
    private static Singleton instance = null;

    // 私有构造函数
    private Singleton() {}

    public static Singleton getInstance() {
        if (instance == null) {
            synchronized (Singleton.class) {
                if (instance == null) {
                    instance = new Singleton();
                }
            }
        }
        return instance;
    }
}

因为对象的创建过程并非是原子性的。在创建的过程中,由于指令重排的影响,导致多线程并发状态下,容易产生线程不安全的问题。

对象创建过程

正常过程

当虚拟机执行 instance = new Singleton这句代码时,会被分解成以下三个动作来执行:
在这里插入图片描述

异常过程

但是,这三个动作的执行顺序并非是一成不变的,有可能经过JVM和CPU的优化编译之后,这三个动作的执行顺序发生了改变,变成了这样:
在这里插入图片描述

异常举例
状态序列instance值线程P1线程P2
1null竞争到锁,开始初始化
2null执行1,给对象分配内存空间
3未初始化执行3,指向内存地址进入getInstance方法,发现instance不为null,返回未初始化的instance

此时线程P2拿到的instance未进行初始化操作,存在安全隐患。

将instance对象声明为volatile,即可禁止指令重排序操作,解决上述问题。

破坏单例特性

反射破坏单例模式

public class Main {
    public static void main(String[] args) throws Exception {
        Singleton instance1 = Singleton.getInstance();
        Singleton instance2 = Singleton.getInstance();
        System.out.println(instance1);
        System.out.println(instance2);

        /*通过反射的方式直接调用私有构造器(通过在构造器里抛出异常可以解决此漏洞)*/
        Class<Singleton> clazz = (Class<Singleton>) Class.forName("Singleton");
        Constructor<Singleton> c = clazz.getDeclaredConstructor(null);
        c.setAccessible(true); // 跳过权限检查
        Singleton instance3 = c.newInstance();
        Singleton instance4 = c.newInstance();
        System.out.println("通过反射的方式获取的对象instance3:" + instance3);
        System.out.println("通过反射的方式获取的对象instance4:" + instance4);
    }
}
// output
Singleton@299a06ac
Singleton@299a06ac
通过反射的方式获取的对象instance3:Singleton@383534aa
通过反射的方式获取的对象instance4:Singleton@6bc168e5

如上,即通过getInstance方法,能够正常获取唯一的单例对象。但通过反射能够任意地创建新的单例类对象。

public class Singleton {
    private volatile static Singleton instance = null;

    // 私有构造函数
    private Singleton() throws Exception {
        if (null != Singleton.instance) {
            throw new Exception("请使用getInstance方法获取单例对象!");
        }
    }

    public static Singleton getInstance() throws Exception {
        if (instance == null) {
            synchronized (Singleton.class) {
                if (instance == null) {
                    instance = new Singleton();
                }
            }
        }
        return instance;
    }
}
// output
Singleton@299a06ac
Singleton@299a06ac
Exception in thread "main" java.lang.reflect.InvocationTargetException
	at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)
	at sun.reflect.NativeConstructorAccessorImpl.newInstance(NativeConstructorAccessorImpl.java:62)
	at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:45)
	at java.lang.reflect.Constructor.newInstance(Constructor.java:423)
	at Main.main(Main.java:188)
Caused by: java.lang.Exception: 请使用getInstance方法获取单例对象!
	at Singleton.<init>(Singleton.java:11)
	... 5 more

通过改造构造函数,能够解决已有单例对象情况下,通过反射创建单例对象的情况。

public class Main {
    public static void main(String[] args) throws Exception {
        /*通过反射的方式直接调用私有构造器(通过在构造器里抛出异常可以解决此漏洞)*/
        Class<Singleton> clazz = (Class<Singleton>) Class.forName("Singleton");
        Constructor<Singleton> c = clazz.getDeclaredConstructor(null);
        c.setAccessible(true); // 跳过权限检查
        Singleton instance1 = c.newInstance();
        Singleton instance2 = c.newInstance();
        System.out.println("通过反射的方式获取的对象instance1:" + instance1);
        System.out.println("通过反射的方式获取的对象instance2:" + instance2);

    }
}
//output
通过反射的方式获取的对象instance1:Singleton@299a06ac
通过反射的方式获取的对象instance2:Singleton@383534aa

若是不调用getInstance方法,只通过反射创建单例对象,仍会引发同样的问题。

在单例类中加入flag标志位,可以解决,但反射能够改变成员变量的值,所以单例特性仍然能够被反射机制破坏。

解决方案

  1. 使用饿汉模式的单例
    饿汉模式,在类加载时即初始化单例对象,再通过反射对单例类进行实例化,会引发异常。

  2. 使用枚举方式的单例
    枚举单例类,java.lang.IllegalArgumentException: Cannot reflectively create enum objects

反序列化破坏单例模式

public class Main {
    public static void main(String[] args) throws Exception {
        Singleton instance1 = Singleton.getInstance();
        try (ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("object"));
             ObjectInputStream inputStream = new ObjectInputStream(new FileInputStream("object"))) {

            //将对象持久化到磁盘中
            outputStream.writeObject(instance1);
            outputStream.flush();

            //从磁盘中反序列化成对象
            Singleton instance2 = (Singleton) inputStream.readObject();

            System.out.println("通过getInstance方法获取的对象instance1:" + instance1);
            System.out.println("通过反序列化的方式获取的对象instance2:" + instance2);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}
// output 
通过getInstance方法获取的对象instance1:Singleton@27f674d
通过反序列化的方式获取的对象instance2:Singleton@48140564

显然,通过反序列方式得到的单例类对象,与原始的单例类对象已经不一样了。

阅读源码ObjectInputStream类发现原因

    /**
     * Reads and returns "ordinary" (i.e., not a String, Class,
     * ObjectStreamClass, array, or enum constant) object, or null if object's
     * class is unresolvable (in which case a ClassNotFoundException will be
     * associated with object's handle).  Sets passHandle to object's assigned
     * handle.
     */
    private Object readOrdinaryObject(boolean unshared)
        throws IOException
    {
        if (bin.readByte() != TC_OBJECT) {
            throw new InternalError();
        }

        ObjectStreamClass desc = readClassDesc(false);
        desc.checkDeserialize();

        Class<?> cl = desc.forClass();
        if (cl == String.class || cl == Class.class
                || cl == ObjectStreamClass.class) {
            throw new InvalidClassException("invalid class descriptor");
        }

        Object obj;
        try {
        		// 如果实现了构造函数通过反射生成新对象
            obj = desc.isInstantiable() ? desc.newInstance() : null;
        } catch (Exception ex) {
            throw (IOException) new InvalidClassException(
                desc.forClass().getName(),
                "unable to create instance").initCause(ex);
        }

        passHandle = handles.assign(unshared ? unsharedMarker : obj);
        ClassNotFoundException resolveEx = desc.getResolveException();
        if (resolveEx != null) {
            handles.markException(passHandle, resolveEx);
        }

        if (desc.isExternalizable()) {
            readExternalData((Externalizable) obj, desc);
        } else {
            readSerialData(obj, desc);
        }

        handles.finish(passHandle);
				// 如果实现了ReadResolve方法,则通过该方法生成对象
        if (obj != null &&
            handles.lookupException(passHandle) == null &&
            desc.hasReadResolveMethod())
        {
            Object rep = desc.invokeReadResolve(obj);
            if (unshared && rep.getClass().isArray()) {
                rep = cloneArray(rep);
            }
            if (rep != obj) {
                // Filter the replacement object
                if (rep != null) {
                    if (rep.getClass().isArray()) {
                        filterCheck(rep.getClass(), Array.getLength(rep));
                    } else {
                        filterCheck(rep.getClass(), -1);
                    }
                }
                handles.setObject(passHandle, obj = rep);
            }
        }

        return obj;
    }

反序列化的类对象首先通过反射生成新对象,如果实现了ReadResolve方法,就替换为该方法返回的对象,如果未实现,则反序列化得到的是一个全新的对象。

那么实现了ReadSolve方法,即可解决上述问题。

public class Singleton implements Serializable {
    private static final long serialVersionUID = 1L;
    private volatile static Singleton instance = null;

    // 私有构造函数
    private Singleton() throws Exception {
        if (null != Singleton.instance) {
            throw new Exception("请使用getInstance方法获取单例对象!");
        }
    }

    public static Singleton getInstance() throws Exception {
        if (instance == null) {
            synchronized (Singleton.class) {
                if (instance == null) {
                    instance = new Singleton();
                }
            }
        }
        return instance;
    }

    //添加的readResolve方法
    private Object readResolve() {
        return instance;
    }
}
// output
通过getInstance方法获取的对象instance1:Singleton@27f674d
通过反序列化的方式获取的对象instance2:Singleton@27f674d

一开始我认为,在单例类对象已经生成的情况下,通过反射实例化对象会抛出异常,但经过debug,发现最终通过如下代码,即使用native的方法分配了内存空间,并没有通过构造函数生成对象,也就跳过了构造函数的检查过程。

class BootstrapConstructorAccessorImpl extends ConstructorAccessorImpl {
    private final Constructor<?> constructor;

    BootstrapConstructorAccessorImpl(Constructor<?> var1) {
        this.constructor = var1;
    }

    public Object newInstance(Object[] var1) throws IllegalArgumentException, InvocationTargetException {
        try {
            return UnsafeFieldAccessorImpl.unsafe.allocateInstance(this.constructor.getDeclaringClass());
        } catch (InstantiationException var3) {
            throw new InvocationTargetException(var3);
        }
    }
}

解决方案

  1. 实现ReadSolve方法
  2. 使用枚举方式的单例
    枚举单例类,反序列化时,是通过枚举类的ValueOf方法进行实例化,不会出现上述问题。

总结

枚举是最好的单例实现。

洛北辰南
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
线程安全单例模式是否真的安全
千林的博客
09-10 667
线程安全单例模式是否真的安全上次我们谈了一些关于JAVA锁级别的问题,这一次和大家聊一聊JAVA常见的单例模式,并且指出常见的线程安全单例模式存在的一些问题,并对问题给出部分解答。 首先,单例模式是我们常用和常见的经典设计模式之一,但是由于在JAVA,多线程问题往往会引起单例模式的水土不服,所以,我们就见到了线程安全单例模式,首先一种单例模式如下所示: public class Saf
安全单例模式
z2014ypd的博客
03-04 264
安全问题,饿汉模式满足,然后就是枚举模式满足 /**饿汉模式(线程安全,并发访问无压力)*/ class Single1{ /**私有化静态唯一字段*/ private static final Single1 instance = new Single1(); /**私有化无参构造方法*/ private Single1() { super(); // TODO Auto-ge...
单例模式():单例模式的弊端
Anonymous_jsu的博客
09-07 529
单例对 OOP 特性的支持不友好 public class Order { public void create(...) { //... long id = IdGenerator.getInstance().getId(); //... } } public class User { public void create(...) { // ... long id = IdGenerator.getInstance().getId(); //....
单例模式线程安全问题引发的思考
幻想波普星
10-25 240
前言 说到面试,肯定少不了并发编程、多线程这些啦,这部分相对来说有一定的难度,而且学了就忘,让人头大,因此我打算好好捋一捋这部分,还是那句话,99%的东西是不需要智力的,惟手熟尔,多看几遍写几遍就好啦。 概述 首先需要理解多线程编程的一些由来。其实无非就是改善单线程的速度,一定能改善吗?也不尽然,在单核机器上,如果当前线程一直阻塞在IO,那么此时多线程肯定是有必要的,不然一直等着他IO也不是个事儿...
设计模式--单例模式--三种实现方法---和单例模式安全隐患
SUPERCHAT8的博客
08-31 265
package singleton; 1.饥饿单例模式的实现: 优点: 饥饿单例,不用使用锁,使用的效率高, 缺点: 类加载的时候就要初始化,导致程序启动初始化慢,同时可能后面用不到,但却一直 占着内存,造成浪费 /** * @author : GONG ZHI QIANG * @data : 2019-08-31 , 14:27 * @user : SnaChat * @project...
Java 单例模式线程安全问题
08-29
Java 单例模式线程安全问题是指在 Java 实现单例模式时,如何确保线程安全问题单例模式是指在整个应用程序生命周期,只有一个实例存在设计模式。这种模式可以提高性能,因为它减少了实例的创建和销毁的...
详解python实现线程安全单例模式
09-20
总结来说,Python实现线程安全单例模式通常需要结合装饰器和线程锁来确保在多线程环境下只有一个实例存在。这里的实现方式是定义了两个装饰器,`Singleton`用于创建单例,`synchronized`用于实现线程同步。通过...
C++单例模式到线程安全详解
08-31
然而,在多线程环境下,如果不正确实现,单例模式可能会导致线程安全问题。 首先,让我们看看一个典型的教科书式的C++单例模式实现: ```cpp class CSingleton { public: static CSingleton* getInstance() { if...
C++线程安全单例模式讲解
12-31
需要用锁,来保证其线程安全性:原因:多个线程可能进入判断是否已经存在实例的if语句,从而non thread safety。 使用double-check来保证thread safety。但是如果处理大量数据时,该锁才成为严重的性能瓶颈。 1、...
完美解决单例设计模式懒汉式线程安全问题
08-31
当多个线程同时调用 `getInstance()` 并且 `s` 为 `null` 时,每个线程都可能创建一个新的 `SingleDemo` 实例,导致多个实例存在,这违反了单例模式的基本原则。运行结果的不同哈希值表示不同的对象实例,证明了这...
滥用的单例模式有多少害处
11-19 4175
<span style="font-family:宋体;mso-ascii-font-family:"Times New Roman";mso-hansi-font-family:"Times New Roman"">大多数做软件设计的人都学习过设计模式,而看过《设计模式》那本书的人一定对单例模式有印象。在众多的设计模式单例模式显得很特别,清晰又简单,容易被人记住,所以使用的也相当多。然而
c++多线程之单例模式为什么懒汉式不安全,以及解决办法
FairLikeSnow的博客
06-13 608
下面先说说为什么它不安全: class JackTang { private: JackTang() { } //不能在析构函数析构这个静态对象,这是一种错误的做法,虽然会调用,但是一个死递归,正确做法 //是创建一个嵌套析构类(下面的B)。 /*~JackTang() { if (pInstance) { cout << "hello "; delete pInstance;//递归调用 pInstance = NULL; cout
单例模式-懒汉式】线程不安全详解,以及如何解决?
qq_39225639的博客
10-29 1418
我们知道懒汉式的单例模式,创建对象的时机在第一次调用getInstance()方法。而安全隐患就存在这时间段,倘若有两条线程都是运行该代码段,一条线程运行过程进入了if语句块且还没有把创建对象的实例赋值给成员变量时恰好进入了阻塞状态(还不清楚线程生命周期的小伙伴可理解为该线程暂停了)。由于if语句判断条件依据是:instance == null才能进入该语句块。那么另一条线程就有可能会混进在该if语句块,最后就会导致两个线程创建了两个不一样的对象。
单例模式在多线程下的数据修改问题(即线程不安全),spring是如何保证单例的线程安全问题
小邹的博客
11-15 1620
原因:在步骤3进入且准备更改步骤1的值时此时步骤2的线程获取到了步骤1的值且在步骤3赋值完成且输出后线程的值才输出,所以导致了线程在步骤1的值已经修改的情况下还能获取到步骤1的值。面试官原问题是:在单例模式下,类A获取单例对象且修改对象的属性值,然后类B也获取对象也修改单例对象属性值,此时类C能否获取到类A修改的属性值?可以看到步骤3更改了步骤1的age值但是下一个线程输出的age值还是步骤1的。注:spring常见的都是无状态的单例,所以不用在意线程安全问题,只有自己写的业务类时才需要考虑。
单例模式多线程下不安全
泷泷养的乔小胖
04-23 4830
单例模式多线程下不安全 大厂面试题: 1、请你谈谈对volatile的理解? 2、CAS你知道吗? 3、原子类AtomicInteger的ABA问题谈谈?原子更新引用知道吗? 4、我们都知道ArrayList是线程不安全的,请编码写一个不安全的案例并给出解决方案? 5、公平锁/非公平锁/可重入锁/递归锁/自旋锁谈谈你的理解?请手写一个自旋锁。 6、CountDownLatch、Cyc...
解决单例模式线程不安全问题
songsonglaila的博客
08-03 1267
1、懒汉式 不足:在多线程环境存在多个对象 ,线程不安全 public class Singleton { private static Singleton singleton; private Singleton(){ } public static Singleton getInstance(){ if (singleton==null){ singleton = new Singleton(); } ...
解决单例模式在多线程环境下可能存在安全问题
抛弃幻想,准备斗争
11-05 648
public class SingletonDemo { private static SingletonDemo instance=null; private SingletonDemo(){ System.out.println(Thread.currentThread().getName()+"\t 构造方法"); } ...
单例模式如何做到安全并且高效?
gaoxueyi551的专栏
10-11 1759
1.单例设计模式的延迟加载模式必须加入同步,因此降低了系统性能,为了解决该问题,可以作如下改进:  public class StaticSingleton{   private StaticSingleton(){    System.out.println("StaticSingleton is create");   }   private static class Singlet
单例模式(双重检测锁式单例不安全的原因与解决)
GoodBoy的博客
04-21 2424
单例模式 核心作用 保证一个类只有一个对象,并且提供一个访问该实例的全局访问点 单例模式的优点 由于单例模式只生成一个实例,减少了系统的开销,当一个对象需要比较的多的资源时,如读取配置、产生其它依赖对象时,则可以通过在应用启动时直接产生一个单例对象,然后永久驻留内存的方式来解决 单例模式可以在系统设置全局访问点,优化环共享资源访问,例如可以设计一个单例类,负责所以数据表的映射处理 常见的五...
单例模式的饿汉和懒汉模式
最新发布
05-10
单例模式是一种常用的设计模式,它保证一个类只有一个实例,并提供一个全局访问点。在单例模式,饿汉式和懒汉式是两种常见的实现方式。 饿汉式是指在类加载的时候就已经创建好该类的对象了,不会存在并发安全和性能问题。饿汉式的实现方式是在类定义一个私有的静态变量,然后在静态代码块创建该类的对象。这样在程序调用时就能直接返回单例对象。 懒汉式则是在需要使用对象的时候才去创建该类的对象。懒汉式的实现方式有多种,其一种是在类定义一个私有的静态变量,然后在获取单例对象的方法进行判断,如果该变量为null,则创建该类的对象。但是这种方式存在多线程安全问题,需要进行同步处理。另一种方式是使用双重检查锁定,即在获取单例对象的方法进行两次判断,第一次判断该变量是否为null,如果为null,则进行同步处理,然后再进行一次判断,如果仍为null,则创建该类的对象。 总之,饿汉式和懒汉式都是单例模式的实现方式,具体使用哪种方式取决于实际需求和场景。需要注意的是,在使用懒汉式时需要考虑多线程安全问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值