Spring依赖注入

于 2024-01-09 11:16:06 发布
阅读量1.2k 收藏 17
点赞数 24
文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28065571/article/details/135475790
版权
本文探讨了Spring框架中依赖注入的优势,如松耦合和可扩展性,并详细介绍了构造器、setter和字段注入方式。同时指出单例模式下的依赖注入潜在风险,如线程安全问题、数据泄露和不正确的业务逻辑,并提供了修复建议和避免线程安全问题的策略。
摘要由CSDN通过智能技术生成

简介

在Spring框架中,为了确保组件之间的依赖关系得到正确管理和维护,建议使用依赖注入(Dependency Injection, DI)。依赖注入是一种设计模式,允许程序在运行时自动为类的成员变量赋值,而不是由程序员直接在代码中硬编码这些依赖关系。

使用Spring的依赖注入有以下好处:

1. **松耦合**:依赖注入可以使各个组件之间保持较低的耦合度,因为组件不再负责创建或查找依赖对象。这样有利于模块化开发和单元测试。

2. **可扩展性**:由于组件之间解耦,添加新功能或替换现有组件变得更加容易。

3. **易于管理**:Spring容器可以集中管理所有的组件实例和它们之间的依赖关系,从而简化应用程序的配置和管理。

在Spring中,可以通过以下几种方式进行依赖注入:

1. **构造器注入**:通过构造函数传递依赖对象的实例。

@Service
public class MyService {
    private final MyRepository repository;

    @Autowired
    public MyService(MyRepository repository) {
        this.repository = repository;
    }
}

2. **setter 注入**:通过设置方法注入依赖对象的实例。

@Service
public class MyService {
    private MyRepository repository;

    @Autowired
    public void setRepository(MyRepository repository) {
        this.repository = repository;
    }
}

3. **字段注入**:直接在类的字段上使用 `@Autowired` 注解。

@Service
public class MyService {
    @Autowired
    private MyRepository repository;
}

风险

在Spring框架中,单例(Singleton)作用域意味着在整个应用程序中,只会创建一个实例。对于上文所述的依赖注入中标记有@Component、@controller、@service、或@Repository注解的类,默认情况下都是单例的。这些类通常会包含一些静态成员(例如日志记录器),但是所有非静态成员都应当由Spring容器管理,以便它们能够正确地参与依赖注入。

如果在这些单例类中存在非静态成员,而这些成员井没有通过@Autowired、 aValue、@Inject、或

@Resource注解来注入,那么就可能存在一种漏洞,因为这样的成员变量可能会被错误地用作状态管理。

在多用户并发环境中,单例bean的状态管理(如果不当)可能会导致以下安全隐患或问题:

  1. 线程安全问题:如果多个请求同时访问这个单例实例,并且同时修改其状态(非静态成员变

  2. 量),那么就可能出现线程安全问题。由于Spring的单例Bean默认不是线程安全的,所以这可能会导致数据的不一致性或竞争条件。

  3. 数据泄露风险:如你所述,如果一个用户的会话数据被错误地存储在单例Bean的成员变量中,那么其他用户可能会意外地访问到这些数据。这会造成重大的隐私问题和数据泄露。

  4. 不正确的业务迅镇:业务迅辑可能会因为错误地假设每个用户都有自己的实例而出错,从而导致不可预测的行为和潜在的错误。

在sonar的扫描规则中,就有一条涉及Spring依赖注入

规则:java:S3749   

等级:严重漏洞   

规则名:Members of Spring components should be injected

解决方案:Annotate this member with "@Autowired", "@Resource", "@Inject", or "@Value", or remove it

漏洞描述:Spring @Component、@Controller、@Service 和 @Repository 类默认都是单例,这意味着应用程序中只会实例化该类的一个实例。通常,这样的类可能有一些静态成员,例如记录器,但所有非静态成员都应该由 Spring 管理。也就是说,它们应该具有以下注释之一:@Resource、@Inject、@Autowired 或@Value。

在这些类之一中拥有非注入成员可能表明尝试管理状态。因为它们是单例,所以这样的尝试几乎可以保证最终将 User1 会话中的数据暴露给 User2。

当未使用 @ConfigurationProperties 注释的单例 @Component、@Controller、@Service 或 @Repository 具有未使用以下之一注释的非静态成员时,都可能引发该问题。

以一段风险代码为例:

@Controller
public class HelloWorld {

  private String name = null;

  @RequestMapping("/greet", method = GET)
  public String greet(String greetee) {

    if (greetee != null) {
      this.name = greetee;
    }

    return "Hello " + this.name;  // if greetee is null, you see the previous user's data
  }
}

这段代码中存在一个问题,即当你访问 `/greet` 路径时,每次请求之间不会清除 `name` 字段的值。这意味着如果你先访问 `/greet?greetee=John`,然后又访问 `/greet?greetee=Doe`,第二次请求将会显示 John 的数据,而不是 Doe 的数据。

为了解决这个问题,你应该在每次请求之前初始化 `name` 字段。你可以使用 Java 的 `@PostConstruct` 注解在一个非静态初始化方法上来执行此操作。这是修改后的代码:

@Controller
public class HelloWorld {

  private String name;

  @PostConstruct
  private void init() {
    this.name = null;
  }

  @RequestMapping("/greet", method = GET)
  public String greet(@RequestParam("greetee") String greetee) {

    if (greetee != null) {
      this.name = greetee;
    }

    return "Hello " + this.name;
  }
}

在这个版本中,我们在类中定义了一个名为 `init` 的私有方法,并使用了 `@PostConstruct` 注解。Spring 将会在实例化该控制器时自动调用这个方法,确保每次请求时 `name` 都会被正确地初始化为 `null`。此外,我们还使用了 `@RequestParam` 来明确表示从 URL 查询参数中获取 `greetee` 值。这样就能确保每次请求之间的 `name` 字段都被正确地清除了。

代码最佳实践

事实上在实际的企业代码实践中,要解决这样一类风险依赖于良好的代码规范,需要重构老的代码是很困难的。在该规则的检测中,有一个修复的讨巧方法是将字段初始化为 null ,例如:

private Environment env = null;
private YYYAdaptor yyyAdaptor = null;
private JAXBContext jaxbContext = null;

当然将字段声明为final一样可以解决问题

private final Environment env;
private final YYYAdaptor yyyAdaptor;
private final JAXBContext jaxbContext;

当然即使是如上文风险代码的写法,也未必一定导致真实的安全问题。实际上有相当多避免线程安全问题的方法,例如:

1. **双检锁/双重校验锁(Double-Check Locking)**: 这是一种常见的线程安全实现方式。它利用同步块,在类初始化时只进行一次实例化操作。这种方式提高了性能,同时也保证了线程安全。

public class Singleton {
    private volatile static Singleton instance;
    
    private Singleton() {}

    public static Singleton getInstance() {
        if (instance == null) {
            synchronized (Singleton.class) {
                if (instance == null) {
                    instance = new Singleton();
                }
            }
        }
        return instance;
    }
}

2. **静态内部类**:这种实现方式巧妙地利用了 Java 类加载机制。当且仅当类被加载时,才会执行单例对象的创建,因此它是线程安全的。

public class Singleton {
    private Singleton() {}

    private static class SingletonHolder {
        private static final Singleton INSTANCE = new Singleton();
    }

    public static Singleton getInstance() {
        return SingletonHolder.INSTANCE;
    }
}

3. **枚举**:使用枚举类型创建单例也是线程安全的,因为枚举类型的实例在编译期间就已经确定,并且不允许有多个实例存在。

public enum Singleton {
    INSTANCE;

    public void doSomething() {
        // ...
    }
}

// 使用
Singleton.INSTANCE.doSomething();

因此对于依赖注入可能存在的安全问题,只检测变量是否被Spring托管的逻辑是过于简单粗暴的,对于有开放式解决方案的问题,安全从业者在进行白盒规则的制定时应该采取更谨慎的态度。

夕立
关注
sonar 规则之漏洞类型
lxlmycsdnfree的博客
06-21 8259
漏洞类型:1、"@RequestMapping" methods should be "public"漏洞 阻断标注了RequestMapping是controller是处理web请求。既使方法修饰为private,同样也能被外部调用,因为spring通过反射调用方法,没有检查方法可视度,2、"enum" fields should not be publicly mutable漏洞 次要枚举类域...
annotation之@Autowired、@Inject、@Resource三者区别
爱笑才不是傻帽的博客
07-23 721
一、@Autowired 1、@Autowiredspring自带的注解,通过‘AutowiredAnnotationBeanPostProcessor’ 类实现的依赖注入; 2、@Autowired是根据类型进行自动装配的,如果需要按名称进行装配,则需要配合@Qualifier; 3、@Autowired有个属性为required,可以配置为false,如果配置为false之后,当没有找到相应bean的时候,系统不会抛错; 4、@Autowired可以作用在变量、setter方法、构造函数上。
Sonar 规则
qq_37967489的博客
02-07 6163
bug类型: 1、".equals()" should not be used to test the values of "Atomic" classes. bug 主要 不要使用equals方法对AtomicXXX进行是否相等的判断 Atomic变量永远只会和自身相等,Atomic变量没有覆写equals()方法.2、"=+" should not be used instead of "+=" bug 主要 "=+" 与 "=+" 意义不同 a =+ b;虽然正确但写法不.
面试官:@Autowired, @Resource, @Inject 有什么区别?建议怎么使用?
最新发布
m0_73311735的博客
09-02 60
使用这种基于 field 注入的方式,添加依赖是很简单的,就算你的类中有十几个依赖你可能都觉得没有什么问题,普通的开发者很可能会无意识地给一个类添加很多的依赖。这是我平常开发中看的最多也是最熟悉的一种方式,同时,也正是 Spring 团队所不推荐的方式。基于 setter 的注入,则只应该被用于注入非必需的依赖,同时在类中应该对这个依赖提供一个合理的默认值。将各个必需的依赖全部放在带有注解构造方法的参数中,并在构造方法中完成对应变量的初始化,这种方式,就是基于构造方法的注入。
认真学习设计模式之建造者模式(Builder Pattern)
小小默:进无止境
12-11 3352
# 【1】概述 **建造者模式(Builder Pattern) 又叫生成器模式,是一种对象构建模式**。它可以将复杂对象的建造过程抽象出来(抽象类别),使这个抽象过程的不同实现方法可以构造出不同表现(属性)的对象。 建造者模式是一步一步创建一个复杂的对象,它允许用户只通过指定复杂对象的类型和内容就可以构建它们,用户不需要知道内部的具体构建细节。 **建造者模式的四个角色** * Product(产品角色): 一个具体的产品对象。 * Builder(抽象建造者): 创建一个Product 对象的各
@Autowired的使用,与@Resource、@Inject的区别
热门推荐
最怕一生碌碌无为,还安慰自己平凡可贵
06-12 1万+
自动装配: spring利用依赖注入(DI),完成对IOC容器中各个组件的依赖关系赋值; 1) @Autowired:自动注入: 1. 默认优先按照类型去容器中找对应的组件:applicationContext.getBean(BookDao.class); 2. 如果找到多个相同类型的组件,再将属性的名称座位组件的id去容器中查找 a...
spring依赖注入知识点分享
08-25
Spring 依赖注入知识点分享 在本篇文章中,我们将详细介绍 Spring 依赖注入的知识点,并提供相关的代码内容。 什么是 IoC IoC(Inversion of Control),即控制反转,是一种软件设计模式。它将对象之间的依赖关系...
spring依赖注入
04-30
Spring依赖注入Spring框架的核心特性之一,它使得对象之间的依赖关系得以解耦,增强了代码的可测试性和可维护性。依赖注入(Dependency Injection,简称DI)的理念是,一个对象不应该负责寻找并创建它所依赖的对象...
Spring依赖注入的两种方式(根据实例详解)
08-30
Spring依赖注入的两种方式详解 在Spring框架中,依赖注入(Dependency Injection)是指框架为对象提供依赖项,而不是由对象创建它们的依赖项。这种技术使得对象之间的耦合度降低,提高了系统的灵活性和可维护性。...
Spring 依赖注入
Ctrl_kun的博客
12-27 1922
Spring依赖注入笔记
Spring @Autowired @Resource @Inject 注解使用方法及区别总结
coding1994的博客
03-08 5381
以下是本人自己的理解加上在网上查的资料总结,看完之后,应该对这个注解的使用会有一定的理解。一   @Autowired注解的使用使用Spring时,通过Spring注入的Bean一般都被定义成private,并且要有getter和setter方法,显得比较繁琐,增加了代码量,而且有时会搞忘造成错误。可以使用@Autowired注解来减少代码量。首先,在applicationContext中加入:&...
@Autowired @Resource @Inject区别
JokerBlue的专栏
04-22 247
@Autowired 根据类型注入bean,属于spring注解,与@Qualifier一起根据名称注入 @Resource 根据bean名称注入,属于JSR250规范(java),可以使用name='beanName',type='beanType'来注入 @Inject 根据类型注入,属于JSR330规范,可以与@Name一起使用,根据名称注入 commons-io,将File=&...
@Autowired @Resource @Inject的区别
晚晴小筑
04-10 5088
测试环境:Intellij + gradle group 'com.xiya' version '1.0-SNAPSHOT' apply plugin: 'java' apply plugin: 'idea' sourceCompatibility = 1.8 repositories { //mavenCentral() maven { url 'http
聊聊依赖注入注解@Resource和@Autowired
码农小胖哥
06-06 1520
1. 前言@Resource和@Autowired注解都可以在Spring Framework应用中进行声明式的依赖注入。而且面试中经常涉及到这两个注解的知识点。今天我们来总结一下它们。...
spring注解 @Primary,@Autowired,@Qualifier,@Resource,@Inject自动装配注解
鸭鸭的博客
05-12 1108
spring的自动装配:Spring利用依赖注入(DI),完成对IOC容器中中各个组件的依赖关系赋值; 1.@Qualifier 配合@Autowired使用,自动装配指定名字的bean 2.@Primary 让Spring进行自动装配的时候,默认使用首选的bean; 3.@Autowired:自动注入 默认优先按照类型去容器中找对应的组件:applicationContext.get...
Spring中@Component,@Service等注解如何被解析?
Java笔记虾
07-25 2783
本文来源:http://8rr.co/EjqL这个系列分为5篇,这是首篇1.@Component,@Service等注解是如何被解析的2.@Enableq驱动原理3.@EnableAut...
深入理解Spring依赖注入
"本文主要介绍Spring框架中的依赖注入(Dependency Injection, DI)概念,以及如何通过XML配置实现DI的两种方式:设值注入和构造注入。" 在Spring框架中,依赖注入是核心特性之一,它有助于降低组件之间的耦合度,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值