事务和锁同时应用
事务(Transaction)和 锁(Lock)同时使用时,应该保证 锁 包含 事务,避免 事务 包含 锁。
漏洞示例一
下面这段代码,主要是通过锁保证一次只有一个线程进来更改数据,将数据从 “old data” 更新成 “new data”,同时通过事务保证数据库操作的原子性,但是这里存在一个漏洞。
假设,T1 获取锁,修改数据,释放锁之后,如果 T1 发生了等待(例如,CPU 时间片轮转),事务还没有提交,即还是 “old data”;此时 T2 获取锁进来,发现还是 “old data”,就又会去执行修改;等 T1 恢复执行后,就会提交事务,将刚刚 T2 的修改覆盖掉。
@Resource
private UserDao userDao;
@Transactional
public void test() {
boolean isAcquire = lock.acquire();
if (!isAcquire) {
return;
}
// 2. T2 running here
if (StrUtil.equals(userDao.getData(), "new data")) {
return;
}
try {
userDao.updData("new data")
} finally {
lock.release();
// 1. T1 waiting here
}
}
漏洞示例二
区别于上一段代码,这一段使用了完全的双检索(Double Check Lock),在获取锁的前后进行一次检查操作,此时就会因为 Mysql 的 RR 事务隔离级别导致脏读问题。
假设,T1 获取到锁,正在执行修改;T2 也进来了,执行了第一次 Check,生成了一个 Page View,Page View 里存储的是 “old data”;T1 执行完修改,将 “new data” 修改为了 “old data”,释放锁,提交事务;T2 获取到锁,执行第二次 Check 时就会存在问题,由于采用的是 RR 事务隔离级别,当生成一个 Page View 后,就不会再去生成新的 Page View,所以 T2 在第二次 Check 时,查询到的是 “old data”,而非刚刚 T1 修改的 “new data”。
@Resource
private UserDao userDao;
@Transactional
public void test() {
if (StrUtil.equals(userDao.getData(), "new data")) {
return;
}
// 2. T2 running here
boolean isAcquire = lock.acquire();
if (!isAcquire) {
return;
}
// 4. T2 running here, dirty reading
if (StrUtil.equals(userDao.getData(), "new data")) {
return;
}
try {
// 1. T1 running here
userDao.updData("new data")
} finally {
lock.release();
}
}
// 3. T2 running here
锁包含事务解决漏洞
由此,我们可以发现在事务内部使用锁,会导致非常多的问题,当我们在锁内部使用事务时,这一切就都不是问题了。
@Resource
private UserDao userDao;
@Lazy
@Resource
private UserService self;
public void test() {
boolean isAcquire = lock.acquire();
if (!isAcquire) {
return;
}
if (StrUtil.equals(userDao.getData(), "new data")) {
return;
}
try {
self.updData();
} finally {
lock.release();
}
}
@Transactional
public void updData() {
userDao.updData("new data")
}
除了上面这种通过 @Transactional
注解实现声名式的事务,也可以采用编程式事务解决问题。
@Resource
private UserDao userDao;
@Resource
private UserService userService;
public void test() {
boolean isAcquire = lock.acquire();
if (!isAcquire) {
return;
}
if (StrUtil.equals(userDao.getData(), "new data")) {
return;
}
try {
transactionTemplate.execute((status) -> {
userDao.updData("new data")
return null;
});
} finally {
lock.release();
}
}