編寫Servlet JSP的時候,Servlet JSP線程安全問題很容易被忽略,如果忽視了這個問題,你的程序就存在潛在的隱患。

1.Servlet的生命周期

Servlet的生命周期是由Web容器負(fù)責(zé)的,當(dāng)客戶端***次請求Servlet時,容器負(fù)責(zé)初始化Servlet,也就是實(shí)例化這個Servlet類。以后這個實(shí)例就負(fù)責(zé)客戶端的請求,一般不會再實(shí)例化其他Servlet類,也就是有多個線程在使用這個實(shí)例。Servlet之所以比CGI效率高就是因?yàn)镾ervlet是多線程的。如果該Servlet被聲明為單線程模型的話,容器就會維護(hù)一個實(shí)例池,那么將存在多個實(shí)例。

2.Servlet的線程安全

Servlet規(guī)范已經(jīng)聲明Servlet不是線程安全的,所以在開發(fā)Servlet的時候要注要這個問題。這里以一個現(xiàn)實(shí)的模型來說明問題,先定義一個Servlet類,再定義一個SmulateMultiThread類和WebContainer類。

importjavax.servlet.http.HttpServlet;  
importjavax.servlet.ServletException;  
importjavax.servlet.http.HttpServletRequest;  
importjavax.servlet.http.HttpServletResponse;  
importjava.io.IOException;  
//該類模擬多線程Servlet的情況  
publicclassSmulateMultiThreadimplementsRunnable{publicSmulateMultiThread(){  
}  
publicstaticvoidmain(String[]args){  
//處理100個請求for(inti=0;i<100;i++){  
newThread(newSmulateMultiThread()).start();  
}  
}  
publicvoidrun(){  
HttpServletRequestrequest=null;  
HttpServletResponseresponse=null;  
try{  
WebContainer.getServlet().doGet(request,response);  
}  
catch(IOExceptionex){  
}  
catch(ServletExceptionex){  
}  
}  
}  
//這是一個Servlet類classUnsafeServletextendsHttpServlet{  
privateStringunsafe;publicvoidinit()throwsServletException{  
}  
//ProcesstheHTTPGetrequestpublicvoiddoGet(HttpServletRequestrequest,
HttpServletResponseresponse)throwsServletException,IOException{  
unsafe=Thread.currentThread().getName();  
System.out.println(unsafe);  
}  
}  
//這個是容器類classWebContainer{  
privatestaticUnsafeServletus=newUnsafeServlet();  
publicstaticUnsafeServletgetServlet(){returnus;  
}  
} 

輸出了100不同的線程名稱,如果有100個請求同時被這個Servlet處理的話,那么unsafe就可能有100種去值,最后客戶端將得到錯誤的值。比如客戶1請求的線程名為thread-1,但是返回給他的可能是thread-20。表現(xiàn)在現(xiàn)實(shí)中就是,我登陸的用戶名是user1,登陸后變成了user2。

那么怎樣才能是Servlet安全呢,凡是多個線程可以共享的就不要使用(實(shí)例變量+類變量),就這么簡單。也可以使用synchronized同步方法,但是這樣效率不高,還可以使用單線程模型,這樣的話效率就更低了,100個請求同時來的時候就要實(shí)例化100個實(shí)例。

方法中的臨時變量是不會影響線程安全的,因?yàn)樗麄兪窃跅Ｉ戏峙淇臻g,而且每個線程都有自己私有的棧空間。

3.Servlet JSP線程安全

JSP的本質(zhì)是Servlet,所有只要明白了Servlet的安全問題,JSP的安全問題應(yīng)該很容易理解。使用聲明的變量是Servlet的實(shí)例變量,不是線程安全的,其他都是線程安全的。

總結(jié)：Servlet JSP線程主要是由實(shí)例變量造成的,不管在Servlet還是JSP,或者在Struts的Action里面,不要使用實(shí)例變量,任何方法里面都不要出現(xiàn)實(shí)例變量,你的程序就是線程安全的。

【編輯推薦】

1. JSP開發(fā)技術(shù)應(yīng)用詳解
2. 詳解JSP開發(fā)環(huán)境的配置
3. JScript、Java、JavaScript和JSP總結(jié)
4. 詳解JSP開發(fā)環(huán)境的配置
5. 詳解ASP和JSP比較