Servlet/JSP技術(shù)和ASP、PHP等相比，由于其多線(xiàn)程運(yùn)行而具有很高的執(zhí)行效率。由于Servlet/JSP默認(rèn)是以多線(xiàn)程模式執(zhí)行的，所以，在編寫(xiě)代碼時(shí)需要非常細(xì)致地考慮多線(xiàn)程的安全性問(wèn)題。然而，很多人編寫(xiě)Servlet/JSP程序時(shí)并沒(méi)有注意到多線(xiàn)程安全性的問(wèn)題，這往往造成編寫(xiě)的程序在少量用戶(hù)訪(fǎng)問(wèn)時(shí)沒(méi)有任何問(wèn)題，而在并發(fā)用戶(hù)上升到一定值時(shí)，就會(huì)經(jīng)常出現(xiàn)一些莫明其妙的問(wèn)題。

Servlet體系結(jié)構(gòu)是建立在Java多線(xiàn)程機(jī)制之上的，它的生命周期是由Web容器負(fù)責(zé)的。當(dāng)客戶(hù)端第一次請(qǐng)求某個(gè)Servlet時(shí)，Servlet容器將會(huì)根據(jù)web.xml配置文件實(shí)例化這個(gè)Servlet類(lèi)。當(dāng)有新的客戶(hù)端請(qǐng)求該Servlet時(shí)，一般不會(huì)再實(shí)例化該Servlet類(lèi)，也就是有多個(gè)線(xiàn)程在使用這個(gè)實(shí)例。Servlet容器會(huì)自動(dòng)使用線(xiàn)程池等技術(shù)來(lái)支持系統(tǒng)的運(yùn)行，如圖1所示。

這樣，當(dāng)兩個(gè)或多個(gè)線(xiàn)程同時(shí)訪(fǎng)問(wèn)同一個(gè)Servlet時(shí)，可能會(huì)發(fā)生多個(gè)線(xiàn)程同時(shí)訪(fǎng)問(wèn)同一資源的情況，數(shù)據(jù)可能會(huì)變得不一致。所以在用Servlet構(gòu)建的Web應(yīng)用時(shí)如果不注意線(xiàn)程安全的問(wèn)題，會(huì)使所寫(xiě)的Servlet程序有難以發(fā)現(xiàn)的錯(cuò)誤。

Servlet的線(xiàn)程安全問(wèn)題

Servlet的線(xiàn)程安全問(wèn)題主要是由于實(shí)例變量使用不當(dāng)而引起的，這里以一個(gè)現(xiàn)實(shí)的例子來(lái)說(shuō)明。

Import javax.servlet. *;   
Import javax.servlet.http. *;   
Import java.io. *;   
Public class Concurrent Test extends HttpServlet {PrintWriter output;   
Public void service (HttpServletRequest request,  
HttpServletResponse response) throws ServletException, IOException {String username;  
Response.setContentType ("text/html; charset=gb2312");  
Username = request.getParameter ("username");   
Output = response.getWriter ();   
Try {Thread. sleep (5000); //為了突出并發(fā)問(wèn)題，在這設(shè)置一個(gè)延時(shí)  
} Catch (Interrupted Exception e){}  
output.println("用戶(hù)名:"+Username+"<BR>");   
}  
}   

該Servlet中定義了一個(gè)實(shí)例變量output，在service方法將其賦值為用戶(hù)的輸出。當(dāng)一個(gè)用戶(hù)訪(fǎng)問(wèn)該Servlet時(shí)，程序會(huì)正常的運(yùn)行，但當(dāng)多個(gè)用戶(hù)并發(fā)訪(fǎng)問(wèn)時(shí)，就可能會(huì)出現(xiàn)其它用戶(hù)的信息顯示在另外一些用戶(hù)的瀏覽器上的問(wèn)題。這是一個(gè)嚴(yán)重的問(wèn)題。為了突出并發(fā)問(wèn)題，便于測(cè)試、觀察，我們?cè)诨仫@用戶(hù)信息時(shí)執(zhí)行了一個(gè)延時(shí)的操作。假設(shè)已在web.xml配置文件中注冊(cè)了該Servlet，現(xiàn)有兩個(gè)用戶(hù)a和b同時(shí)訪(fǎng)問(wèn)該Servlet（可以啟動(dòng)兩個(gè)IE瀏覽器，或者在兩臺(tái)機(jī)器上同時(shí)訪(fǎng)問(wèn)）,即同時(shí)在瀏覽器中輸入：

a： http://localhost: 8080/servlet/ConcurrentTest? Username=a

b： http://localhost: 8080/servlet/ConcurrentTest? Username=b

如果用戶(hù)b比用戶(hù)a回車(chē)的時(shí)間稍慢一點(diǎn)，將得到如圖2所示的輸出：

從圖2中可以看到，Web服務(wù)器啟動(dòng)了兩個(gè)線(xiàn)程分別處理來(lái)自用戶(hù)a和用戶(hù)b的請(qǐng)求，但是在用戶(hù)a的瀏覽器上卻得到一個(gè)空白的屏幕，用戶(hù)a的信息顯示在用戶(hù)b的瀏覽器上。該Servlet存在線(xiàn)程不安全問(wèn)題。下面我們就從分析該實(shí)例的內(nèi)存模型入手,觀察不同時(shí)刻實(shí)例變量output的值來(lái)分析使該Servlet線(xiàn)程不安全的原因。

Java的內(nèi)存模型JMM（Java Memory Model）JMM主要是為了規(guī)定了線(xiàn)程和內(nèi)存之間的一些關(guān)系。根據(jù)JMM的設(shè)計(jì)，系統(tǒng)存在一個(gè)主內(nèi)存(Main Memory)，Java中所有實(shí)例變量都儲(chǔ)存在主存中，對(duì)于所有線(xiàn)程都是共享的。每條線(xiàn)程都有自己的工作內(nèi)存(Working Memory)，工作內(nèi)存由緩存和堆棧兩部分組成，緩存中保存的是主存中變量的拷貝，緩存可能并不總和主存同步，也就是緩存中變量的修改可能沒(méi)有立刻寫(xiě)到主存中；堆棧中保存的是線(xiàn)程的局部變量，線(xiàn)程之間無(wú)法相互直接訪(fǎng)問(wèn)堆棧中的變量。根據(jù)JMM，我們可以將論文中所討論的Servlet實(shí)例的內(nèi)存模型抽象為圖3所示的模型。

下面根據(jù)圖3所示的內(nèi)存模型，來(lái)分析當(dāng)用戶(hù)a和b的線(xiàn)程（簡(jiǎn)稱(chēng)為a線(xiàn)程、b線(xiàn)程）并發(fā)執(zhí)行時(shí)，Servlet實(shí)例中所涉及變量的變化情況及線(xiàn)程的執(zhí)行情況，如下表所示。

調(diào)度時(shí)刻	a線(xiàn)程	b線(xiàn)程
T1	訪(fǎng)問(wèn)Servlet頁(yè)面
T2		訪(fǎng)問(wèn)Servlet頁(yè)面
T3	output=a的輸出username=a休眠5000毫秒，讓出CPU
T4		output=b的輸出（寫(xiě)回主存）username=b休眠5000毫秒，讓出CPU
T5	在用戶(hù)b的瀏覽器上輸出a線(xiàn)程的username的值,a線(xiàn)程終止。
T6		在用戶(hù)b的瀏覽器上輸出b線(xiàn)程的username的值,b線(xiàn)程終止。

從上表中可以清楚的看到，由于b線(xiàn)程對(duì)實(shí)例變量output的修改覆蓋了a線(xiàn)程對(duì)實(shí)例變量output的修改，從而導(dǎo)致了用戶(hù)a的信息顯示在了用戶(hù)b的瀏覽器上。如果在a線(xiàn)程執(zhí)行輸出語(yǔ)句時(shí)，b線(xiàn)程對(duì)output的修改還沒(méi)有刷新到主存，那么將不會(huì)出現(xiàn)圖2所示的輸出結(jié)果，因此這只是一種偶然現(xiàn)象，但這更增加了程序潛在的危險(xiǎn)性。

 

【編輯推薦】

1. JSP+JavaBean+Servlet結(jié)構(gòu)工作原理淺析
2. Servlet頁(yè)面跳轉(zhuǎn)實(shí)現(xiàn)方法的區(qū)別
3. Servlet多線(xiàn)程的相關(guān)問(wèn)題淺析
4. Servlet容器之安全多線(xiàn)程問(wèn)題
5. JSP Servlet開(kāi)發(fā)最初那點(diǎn)事