Servlet和JSP的线程安全问题

编写servlet和jsp的时候,线程安全问题很容易被忽略,如果忽视了这个问题,你的程序就存在潜在的隐患.

1.servlet的生命周期

servlet的生命周期是由web容器负责的,当客户端第一次请求servlet时,容器负责初始化servlet,也就是实例化这个servlet类.以后这个实例就负责客户端的请求,一般不会再实例化其他servlet类,也就是有多个线程在使用这个实例.servlet之所以比cgi效率高就是因为servlet是多线程的.如果该servlet被声明为单线程模型的话,容器就会维护一个实例池,那么将存在多个实例.

2.servlet的线程安全

servlet规范已经声明servlet不是线程安全的,所以在开发servlet的时候要注要这个问题.这里以一个现实的模型来说明问题,先定义一个servlet类,再定义一个smulatemultithread类和webcontainer类.

import javax.servlet.http.httpservlet;

import javax.servlet.servletexception;

import javax.servlet.http.httpservletrequest;

import javax.servlet.http.httpservletresponse;

import java.io.ioexception;

//该类模拟多线程servlet的情况

public class smulatemultithread implements runnable{

public smulatemultithread() {

}

public static void main(string[] args) {

//处理100个请求

for(int i=0;i<100;i++)

{

new thread(new smulatemultithread()).start();

}

}

public void run() {

httpservletrequest request=null;

httpservletresponse response=null;

try {

webcontainer.getservlet().doget(request, response);

}

catch (ioexception ex) {

}

catch (servletexception ex) {

}

}

}

//这是一个servlet类

class unsafeservlet extends httpservlet{

private string unsafe;

public void init() throws servletexception {

}

//process the http get request

public void doget(httpservletrequest request, httpservletresponse response) throws servletexception, ioexception {

unsafe=thread.currentthread().getname();

system.out.println(unsafe);

}

}

//这个是容器类

class webcontainer{

private static unsafeservlet us=new unsafeservlet();

public static unsafeservlet getservlet(){

return us;

}

}

输出了100不同的线程名称,如果有100个请求同时被这个servlet处理的话,那么unsafe就可能有100种去值,最后客户端将得到错误的值.比如客户1请求的线程名为thread-1,但是返回给他的可能是thread-20.表现在现实中就是,我登陆的用户名是user1,登陆后变成了user2.

那么怎样才能是servlet安全呢,凡是多个线程可以共享的就不要使用(实例变量+类变量),就这么简单.也可以使用synchronized同步方法,但是这样效率不高,还可以使用单线程模型,这样的话效率就更低了,100个请求同时来的时候就要实例化100个实例.

方法中的临时变量是不会影响线程安全的,因为他们是在栈上分配空间,而且每个线程都有自己私有的栈空间.

3.jsp中线程安全

jsp的本质是servlet,所有只要明白了servlet的安全问题,jsp的安全问题应该很容易理解.使用<%! %>声明的变量是servlet的实例变量,不是线程安全的,其他都是线程安全的.

<%! string unsafevar; %>//不是线程安全的

<% string safevar; %>// 线程安全的

总结:线程安全问题主要是由实例变量造成的,不管在servlet还是jsp,或者在struts的action里面,不要使用实例变量,任何方法里面都不要出现实例变量,你的程序就是线程安全的.