Controller成员变量注入HttpServletRequest安全吗?

最新推荐文章于 2024-07-23 22:14:51 发布
最新推荐文章于 2024-07-23 22:14:51 发布
阅读量1.1k 收藏 6
点赞数 6
文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37333469/article/details/108393250
版权

问题:

在SpringMVC的应用中,我们使用HttpServletRequest时都是将其直接放到Controller方法中的入参,但是这样十分冗余, 如果我们可以使用@Autowired注解配合Spring的注入机制在Controller中让HttpServletRequest作为成员变量注入,那需要使用session的方法入参中就少了一个参数,但是这样做真的安全吗?

Spring默认的注入的bean的作用域是单例的,使用这种方式会不会导致HttpServletRequest也是单例的从而出现线程不安全的情况?

接下来看看例子,例子源代码:

@Controller
@RequestMapping("/request")
public class RequestController {

    @Autowired
    HttpServletRequest request;

    @RequestMapping("/methodParam")
    @ResponseBody
    public String byMethodParam(HttpServletRequest httpServletRequest) {
        String id = httpServletRequest.getParameter("id");
        return id;
    }

    @ResponseBody
    @RequestMapping("/memberVariable")
    public String byMemberVariable() {
        String id = request.getParameter("id");
        return id;
    }
}

1. 方法参数使用流程分析:

我们先在byMethodParam(HttpServletRequest httpServletRequest)方法中打上断点,看看方法入参的HttpServletRequest 是什么对象。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1Uj2iEag-1599138406075)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/854c6f9c-7d7b-4bf3-bd09-8727469bb991/Untitled.png)]

我们可以看到,这里的HttpServletRequest是个SecurityContextHolderAwareRequestWrapper对象,我们再进入SecurityContextHolderAwareRequestWrapper对象看看它的继承关系:

SecurityContextHolderAwareRequestWrapper继承了HttpServletRequest,所以实际上它是个Servlet中最原生的HttpServletRequest对象。

2. 成员变量注入流程分析:

接下来,我们再进入byMemberVariable方法中打断点。

在这里插入图片描述

可以看到,作为成员变量注入的HttpServletRequest对象实际的类型与上面的不一样了。它实际上是一个AutowireUtils类的静态内部类ObjectFactoryDelegatingInvocationHandler
在这里插入图片描述

这个静态内部类ObjectFactoryDelegatingInvocationHandler实际上继承了InvocationHandler, 实际上它是一个代理,在代理实现的invoke()方法中,我们重点看method.invoke(this.objectFactory.getObject(), args);这里代理方法使用的对象是this.objectFactory.getObject()获取的, 断点走下来看看objectFactory的对象类型:

在这里插入图片描述
它实际上是WebApplicationContextUtils类中定义的静态内部类RequestObjectFactory,我们再看看这个RequestObjectFactory 类中定义的方法:

在这里插入图片描述

我们再进入currentRequestAttributes() 方法:

在这里插入图片描述

再进入RequestContextHolder.currentRequestAttributes() 方法:

在这里插入图片描述

再进入getRequestAttributes()方法:

在这里插入图片描述

再看看requestAttributesHolder 是个什么东西:

[

看到这里就真相大白了,这里实际上使用了一个ThreadLocal 存着RequestAttributes , 而HttpServletRequest 是在RequestAttributes 对象中获取的,这里用了ThreadLocal,所以每个请求都对应了一条线程自己的RequestAttributes ,所以HttpServletRequest 也是每条请求线程中私有的,所以它是线程安全的。

3. 引申问题:

那SpringMVC是什么时候将HttpServletRequest 对象设置到ThreadLocal中的呢?

我们先看DispatcherServlet 类,这里没有发现相关方法,再看它的父类FrameworkServlet ,找到FrameworkServlet中的doService()、doGet()、doPost()等几个基本的Http处理方法,里面都执行了processRequest(HttpServletRequest request, HttpServletResponse response)方法:

在这里插入图片描述

再进入processRequest(HttpServletRequest request, HttpServletResponse response)一探究竟:

在这里插入图片描述

这里从RequestContextHolder中获取了RequestAttributes 对象,再看看initContextHolders()方法:

在这里插入图片描述

原来就是在这个地方设置了RequestAttributes

简单来说,就是对每个请求进行处理时,在FrameworkServletprocessRequest(HttpServletRequest request, HttpServletResponse response)设置了RequestAttributesRequestContextHolder 类的ThreadLocal<RequestAttributes>变量中。

4. 总结:

使用方法参数传递的HttpServletRequest ,框架没有做封装,直接使用的是原生的HttpServletRequest 对象。

使用方法成员变量和@Autowired注解注入的HttpServletRequest ,实际上SpringMVC做了一层代理,最终获取的是RequestContextHolder 中的类型为ThreadLocal<RequestAttributes>中存放的

RequestAttributes中的HttpServletRequest 对象,因为使用了ThreadLocal,所以保证了每条线程

HttpServletRequest 对象的隔离,从而实现线程安全。

打代码的娃娃
关注
(未完)7-Servlet线程安全问题
qq_39474604的博客
08-25 295
一、ServletContext、HttpSession是线程安全的;ServletRequest是非线程安全的 参考:https://www.cnblogs.com/digdeep/p/4429098.html 1、保存在ServletContext、HttpSession中的对象必须是线程安全的; 在Java web项目中,我们经常要将一个登陆的用户保存在HttpSession中,而这个...
HttpServletRequest的传值引发的线程安全性问题
jiaxuan7765的博客
07-31 5226
最近看了下之前项目的代码,发现有同事写了类似如下的代码结构: 1、控制层 @RestController public class TestController { @Autowired private ITestBizc testBizc; @ModelAttribute public void init(HttpServletRequest reques...
SpringBoot--Controller获取HttpServletRequest
热门推荐
IT利刃出鞘的博客
09-23 1万+
本文介绍SpringBoot如何在Controller中获取HttpServletRequest
为什么可以直接@Autowired注入HttpServletRequest,且线程安全
最新发布
Pardon_wang的博客
07-23 1028
1. Controller类的方法参数方式注入的`HttpServletRequest`是ServletDispatcher通过方法调用的方式传递给Controller的,并不是通过Spring容器注入的方式获取的 2. Service类中直接通过Spring容器注入`HttpServletRequest`,底层是通过ObjectFactory、ThreadLocal和OncePerRequestFilter实现的,其中ThreadLocal保证了线程安全
SpringMVC在controller注入HttpServletRequest
weixin_44567296的博客
03-06 1333
SpringMVC在controller注入HttpServletRequest 引入背景 @Controller public class TestController{ public String getUserId(HttpServletRequest request){ return (String)request.getSession().getAttribute("userId"); } public String getOrganId(HttpSer
springboot如何把HttpServletRequest传入到controller
Java搜索工程技术栈
01-07 2576
是由如tomcat这种Servlet容器创建的。Tomcat 创建的 Request 和 Response 的类结构图。至于这个是怎么传到你对应的controller方法内的,实际上就是SpringMVC里面的起的作用。这里先不展开,下面再讨论,先看一张图。
Spring MVC Controller使用HttpServletRequest
weixin_34376986的博客
06-19 1211
2019独角兽企业重金招聘Python工程师标准>>> ...
关于Spring MVC在Controller层中注入request的坑详解
08-27
然而,直接在Controller成员变量上使用`@Autowired`注入HttpServletRequest可能会引发一些问题,尤其是在考虑线程安全和并发处理时。 首先,Spring MVC中的Controller默认是单例模式的,这意味着在整个应用生命...
详解Spring Controller autowired Request变量
10-19
本文将详细介绍如何在Spring Controller中使用@Autowired注解自动装配(autowired)请求相关的变量,并且讲解了Spring是如何通过特定机制实现这一功能的。 首先,了解Spring的依赖注入原理是掌握自动装配的关键。...
Spring源码解读:Spring注入Request原理
liangsheng_g的专栏
12-08 1324
文章目录前言一、来个例子二、解析一下1. 为啥会打印Current HttpServletRequest2. 既然是Spring注入的对象,为啥能做到动态变化3. 为啥此ObjectFactory.getObject()能够拿到不停变化的对象总结 前言 之前我在这篇文章说过Spring往容器里管理了Request对象,所以你可以在spring的任何实例里面注入HTTPRequest对象。具体是怎么实现的呢? 今天就来更详细地分析下~ 一、来个例子 示例:pandas 是基于NumPy 的一种工具,该工具是
【SaaS - Export项目】使用子类继承父类BaseController来实现权限控制 springmvc给控制器成员变量赋值
mighty_Jon的博客
11-02 667
使用子类继承父类来实现权限控制Spring中子类继承父类的好处BaseController作父类子类 Spring中子类继承父类的好处 1)子类继承父类,可以自动拥有父类的非私有成员(成员变量或者方法) 2)如果在父类中定义成员变量 request,session,response,并且注入对象以后子类控制器方法可以直接使用 BaseController作父类 //1》子类继承父类,可以自动拥有父类的非私有成员(方法或者变量) public class BaseController { //定义一个
@Controller没有注意报错,Ljavax/servlet/http/HttpServletMapping
liuxianwen1990的博客
04-18 5606
调用接口报错,@Controller层用着个注解返回时报错,这个注释可以返回页面,特别是前后端没有分类时用的多 1,在方法前添加@ResponseBody注解,返回是JSON,XML 2,修改为@RestController,这块注释只会返回JSON,XML(自定义返回格式) Caused by: java.lang.NoSuchMethodError: javax.servlet.http....
SpringMVC在Controller层中注入request的坑
05-20 1380
###结论 给心急的人。 直接在Controller成员变量上使用@Autowire声明HttpServletRequest,这是线程安全的! @Controller public class TestController{ @Autowire HttpServletReq...
java request 克隆,关于Spring MVC在Controller层中注入request的坑详解
weixin_35143166的博客
03-13 438
前言记一次为了节省代码没有在方法体中声明HttpServletRequest,而用autowire直接注入所钻的坑结论:给心急的人。 直接在Controller成员变量上使用@Autowire声明HttpServletRequest,这是线程安全的!@Controllerpublic class TestController{@AutowireHttpServletRequest request...
Spring中的成员对象注入的三种方式
tanxinji的博客
02-27 1626
 当一个类运行需要调用一个成员对象,成员对象是另一个类对象时,则可以用依赖注入创建成员对象。让容器类来帮你创建成员对象。 一、@Value注解 二、@Autowired注解 三、@Resource注解 四、@Inject 和 @Named注解 ......
Servlet线程安全问题及解决
qq_52146944的博客
03-24 435
servlet线程安全问题及解决方式
链式编程原理
你怎么也喜欢嘴巴嘟嘟
09-28 512
先简单的做一个案列,点击按钮修改里面的值,由此可知 对象.方法()如果返回的是一个对象则可以继续调用方法 此时报错是有问题 ,并不是sayHello 的问题 而是per.sayHi这个方法返回的不是一个对象,方法没有返回值 ,所以不能调用方法 function Persion() { this.sayHi = function () { console.log("我是一个方法") return this;
SpringMVC的Controller注入Servlet
诗人不写诗
01-11 1730
我们知道Servlet使用方式是单实例多线程的,Controller在不使用@Scope("prototype")注解时也是单实例的,下面的使用方式: @Controller public class BlogController { @Autowired private HttpServletRequest request; } 初看之下,因为BlogController中有Servl...
Spring MVC Controller注入request的线程安全性解析
在这个例子中,开发者尝试在Controller成员变量上使用@Autowired注解来注入HttpServletRequest。初看上去,这样可以避免在每个方法中都传递HttpServletRequest作为参数,从而简化代码。然而,这引发了一个关于线程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值