由HttpServletRequest的传值引发的线程安全性问题

最近看了下之前项目的代码，发现有同事写了类似如下的代码结构：

1、控制层

@RestController
public class TestController {
    @Autowired
    private ITestBizc testBizc;

    @ModelAttribute
    public void init(HttpServletRequest request){
        testBizc.setRequest(request);
    }

}

2、业务层

@Repository
public class TestBizc implements ITestBizc {
    private HttpServletRequest httpServletRequest;

    @Override
    public void setRequest(HttpServletRequest httpServletRequest) {
        this.httpServletRequest = httpServletRequest;
    }
}

HttpServletRequest对象代表客户端的请求，这边的操作目的是为了从控制层传request对象到业务层，并利用@ModelAttribute，使得每个请求方法都先执行传值操作。我们先不讨论其他的做法，就单纯看这样做会导致什么问题。

Spring默认设置每个bean都是单例的，这意味着每个request过来，系统都会用原有的实例去处理 ，这样可以减少对象的创建与垃圾回收的消耗，但是这也就带来了另外一个问题，共享变量的线程安全性问题。就上面的例子而言，我们发现TestBizc将HttpServletRequest设置成自身属性，在单线程的情况下，我们每次方法都会先执行控制层的init方法，然后再执行具体的业务操作，这是没问题的，但是在并发多线程的情况下，这样操作就会出问题。举个例子，A线程执行完init方法，还没开始执行具体的业务代码，这个时候B线程执行init方法，就改变了TestBizc中HttpServletRequest这个属性，A线程再去执行TestBizc中的业务方法，这时候就出现了线程安全性问题了。

我们可以用代码测试下，在TestBizc中加入如下方法：

    public void getRequestInfo(int orgCode){
        if(orgCode!=this.httpServletRequest.hashCode()){
            System.out.println(Thread.currentThread().getName()+": "
                    +orgCode+"  "+this.httpServletRequest.hashCode());
        }
    }

在TestController加入调用方法：

    @RequestMapping("/test")
    public String test(HttpServletRequest request){
        testBizc.getRequestInfo(request.hashCode());
        return "TEST";
    }

接着再开启1000个线程模拟并发访问，观察控制台：

控制台输出.png

确认上面所说，这种操作是线程不安全的，那么解决方法有哪些呢
（1）使用方法参数进行传值，因为方法参数是局部变量，所以不会有多线程问题，但是如果方法多，这样操作起来比较麻烦；
（2）将Controller的作用域设置为prototype，这样每次请求过来都会生成一个新的实例，不存在多线程问题，但同时也带来了更大的内存消耗；
（3）利用ThreadLocal为每个线程存储变量副本，这种做法比较常见，Spring本身解决线程安全性问题也用此方法

其实对于HttpServletRequest在非控制层的操作，Spring已经提供现有的方法供我们调用，修改下原来代码：

    @Override
    public void getRequestInfo(int orgCode){
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.
                getRequestAttributes()).getRequest();
        if(orgCode!=request.hashCode()){
            System.out.println(Thread.currentThread().getName()+": "
                    +orgCode+"  "+request.hashCode());
        }
    }

再开1000个线程模拟并发，发现控制台没有打印出东西，说明这样操作是线程安全的，那么Spring是怎么操作的呢，其实就是上面提到的第三点解决方法，Spring为每个线程都创建了request变量副本，使得我们可以在任何地方轻松地获取到request对象。

那么Spring又是在哪里设置了RequestContextHolder里面的内容的呢，阅读Spring源码我们可以发现在FrameworkServlet中重写了service()、doGet()、doPost()等方法，并且都调用processRequest方法进行预处理，在该方法里我们可以看到：

this.initContextHolders(request, localeContext, requestAttributes);

这么一行代码，跟进入，发现initContextHolders方法里面做了如下操作：

if(requestAttributes != null) {
     RequestContextHolder.setRequestAttributes(requestAttributes, this.threadContextInheritable);
}

至此，我们知道了Spring是在分发操作前进行了RequestContextHolder之类共享变量的初始化