Tomcat的Request不是线程安全的

最新推荐文章于 2025-06-01 19:55:48 发布
转载 最新推荐文章于 2025-06-01 19:55:48 发布 · 1.1k 阅读 · 0

探讨了Tomcat中Request对象的线程安全性问题,分析了getCookies()方法在多线程环境下可能导致NullPointerException的原因,及如何避免此类问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Tomcat的Request不是线程安全的

 

这几天遇到一个和Request及Cookie相关的问题,再次验证了多线程是魔鬼的道理。


这是从一个第三方jar中反编译出来的代码,程序间歇性的抛NullPointerException,看stack trace是第8行抛的。

 

Java代码 

 收藏代码

  1. public String getCookieVal(String key)  
  2.  {  
  3.    Cookie[] cookies = this.req.getCookies();  
  4.    if (cookies == null) {  
  5.      return null;  
  6.    }  
  7.    for (int i = 0; i   if (key.equals(cookie.getName())) {  
  8.        return cookie.getValue();  
  9.      }  
  10.    }  
  11.    return null;  

 

这行为什么会抛NullPointerException呢?看代码无非key是null或者cookie是null,于是想到加Log,捕捉到NPE时打出传入的key和所有的cookie,看看有没有null。

可是... 从Log看,捕捉到NPE时,key是有值的,所有的cookie也都是有值的,难道见鬼了?


这个bug纠结了两天,才找到了问题所在:正如标题,Request.getCookies()不是线程安全的

先来看一下Servelt 2.4 spec 中关于Request.getCookies()的描述
 

 写道

getCookies()
public Cookie[] getCookies()
Returns an array containing all of the Cookie objects the client sent with this
request. This method returns null if no cookies were sent.

Returns: an array of all the Cookies included with this request, or null if
the request has no cookies

 



  从这个描述来,getCookies方法返回的数组中应该不会包含null才对,但是,按照Tomcat 5.5的源码来看,并不是这样,

以下是org.apache.catalina.connector.Request中的实现

Java代码 

 收藏代码

  1. /* 
  2.    * Return the set of Cookies received with this Request. 
  3.    */  
  4.   public Cookie[] getCookies() {  
  5.   
  6.       if (!cookiesParsed)  
  7.           parseCookies();  
  8.   
  9.       return cookies;  
  10.   
  11.   }  

 parseCookies源码如下

Java代码 

 收藏代码

  1.    
  2. /** 
  3.      * Parse cookies. 
  4.      */  
  5.     protected void parseCookies() {  
  6.   
  7.         cookiesParsed = true;  
  8.   
  9.         Cookies serverCookies = coyoteRequest.getCookies();  
  10.         int count = serverCookies.getCookieCount();  
  11.         if (count <= 0)  
  12.             return;  
  13.   
  14.         cookies = new Cookie[count];  
  15.   
  16.         int idx=0;  
  17.         for (int i = 0; i < count; i++) {  
  18.             ServerCookie scookie = serverCookies.getCookie(i);  
  19.             try {  
  20.                 /* 
  21.                 we must unescape the '\\' escape character 
  22.                 */  
  23.                 Cookie cookie = new Cookie(scookie.getName().toString(),null);  
  24.                 int version = scookie.getVersion();  
  25.                 cookie.setVersion(version);  
  26.                 cookie.setValue(unescape(scookie.getValue().toString()));  
  27.                 cookie.setPath(unescape(scookie.getPath().toString()));  
  28.                 String domain = scookie.getDomain().toString();  
  29.                 if (domain!=null) cookie.setDomain(unescape(domain));//avoid NPE  
  30.                 String comment = scookie.getComment().toString();  
  31.                 cookie.setComment(version==1?unescape(comment):null);  
  32.                 cookies[idx++] = cookie;  
  33.             } catch(IllegalArgumentException e) {  
  34.                 // Ignore bad cookie  
  35.             }  
  36.         }  
  37.         if( idx < count ) {  
  38.             Cookie [] ncookies = new Cookie[idx];  
  39.             System.arraycopy(cookies, 0, ncookies, 0, idx);  
  40.             cookies = ncookies;  
  41.         }  
  42.   
  43.     }  

  

getCookies() 的流程是先置cookiesParsed,再生成并初始化cookies[]数组,并且没有同步,所以,若两个线程在同一个Request上按照以下时间步骤调用getCookies方法,就会出错,


Thread A                                         Thread B



1 getCookies();


2 parseCookie();


3 cookiesParsed = true;


4 cookies = new Cookie[count];



5                                                       getCookies();


6                                                      cookiesParsed==true;


7                                                       return cookies;




如果cookies 数组刚被new 出来,还没有完成初始化,ThreadA就让出了时间片,ThreadB接着调用getCookies()就可能读到一个没有初始化完成的cookies,这个cookies中包含null元素。



这同时也解释了为什么ThreadB的log中request.getCookies()都是有值的:当ThreadB的log再次调用request.getCookies()时,ThreadA早已再次获得时间片,并完成了cookies的初始化,所以log中getCookies()拿到的都是好的发现不了问题。



定位了问题后,解决方法是从源头上避免对于request的并发访问,相对就比较容易实现了。



这次debug的总结


1) Request并不是一个线程安全的对象

2) 多线程真心坑爹,要不java也不会推出个conccurent包。每次遇到多线程的问题,由于不能固定重现,大多数时间都是在脑海中画时序图,猜哪条路径会出错,太坑爹了!

 

30W年薪的人工智能工程师只是“白菜价”?

人工智能技术向前发展,也必然会出现一些岗位被人工智能取代,但我们相信,随着人工智能的发展,会有更多的新的、属于未来的工作岗位出现,是社会发展的必然产物,我们能做的也许只能是与时俱进了

0 

1 

分享到:  

Hibernate实现贯穿三层的乐观锁 | hibernate中"fetch all properties" 不起 ...

评论

6 楼 iamlotus 2014-05-08  

wangheng1700 写道

还有线程内部的堆栈都是单独的,在调各自的Request.getCookie方法的时候会各自创建运行时的线程堆栈,怎么会出现B线程去取A线程未初始化的变量呢?


这个是第三方包,会从Request中取cookie信息单独开个线程进行其它的操作。

5 楼 wangheng1700 2013-06-27  

还有线程内部的堆栈都是单独的,在调各自的Request.getCookie方法的时候会各自创建运行时的线程堆栈,怎么会出现B线程去取A线程未初始化的变量呢?

4 楼 wangheng1700 2013-06-27  

同意3楼的看法,怎么可能多个线程里面访问同一个Request!!!!楼主给个说法!

3 楼 alan0509 2012-01-11  

这 代码 我怎么看着 有问题 。求解?


为什么 会出现 若两个线程在同一个Request ?

2 楼 ruby_windy 2011-10-13  

很好的分析.

1 楼 zhufeng1981 2011-10-12  

分析的很精彩。

@Autowired HttpServletRequest为什么是线程安全
远方的少年
09-10 737
通常我们会看到很多地方可以直接注入一个HttpServletRequest来使用,但是在多线程的请求模型中,注入的HttpServletRequest是如何保证线程安全的呢?这个就利用到了ThreadLocal的技术。 首先当请求到来的时候,会执行以下代码 private void initContextHolders(HttpServletRequest request, @Nullable LocaleContext localeContext, @Nullabl...
2024年Tomcat-session的实现:线程安全与管理(1)
2401_84253894的博客
05-01 599
else {// 直接使用 StandardSessionFacade 包装即可再最后,要说明的是,整个sessions的管理使用一个 ConcurrentHashMap 来存放全局会话信息,sessionId->session实例。
Tomcat Spring 线程安全
qq_24281575的博客
10-16 207
https://blog.youkuaiyun.com/a236209186/article/details/61460211?utm_source=blogxgwz0
Tomcat 线程模型详解&性能调优
最新发布
2301_79454275的博客
06-01 1025
Poller 的本质是一个 Selector,也跑在单独线程里。Acceptor 跑在一个单独的线程里,它在一个死循环里调用 accept 方法来接收新连接,一旦有新的连接请求到来,accept 方法返回一个 Channel 对象,接着把 Channel 对象交给 Poller 去处理。理论上我们可以通过公式 线程数 = CPU 核心数 *(1+平均等待时间/平均工作时间),计算出一个理想值,这个值只具有指导意义,因为它受到各种资源的限制,实际场景中,我们需要在理想值的基础上进行压测,来获得最佳线程数。
模拟高并发下Tomcat线程安全现场记录<二>
weixin_42488909的博客
07-09 321
1. 目的 继上一次发现的线程安全问题后,这次来看看如何解决这个问题。 2. 使用ThreadLocal 代码: package thread; import java.util.ArrayList; import java.util.List; public class ThreadSecurity { private static ThreadLocal<List<byte[]>> byteListThreadLocal = new ThreadLocal<>(
关于request线程安全
大鸡腿的博客
06-10 1421
1.线程安安全,可以使用多线程进行测试,如果线程安全,会出现重复的情况2.线程安全1)在Controller参数中的request如:public void a(HttpServletRequest request)2)自动注入@Autowired3)基类注入基类代码public class B{@Autowiredpublic xx xx;}3.线程安全@ModelAttributepub...
Tomcat Request Cookie 丢失问题
m0_74825447的博客
01-01 1334
告警,告警后发到工作群中,但是相关开发人员告知自己能够正常访问,没有问题,因为正好周五,自己觉得偶发性肯定和并发相关,所以周末研究了下代码,发现和。生产环境偶尔(涉及到多线程处理)出现"前端传递`Cookie为空"的告警,导致前端请求丢失,出现请求失败问题。请求的类,包含了请求的所有详细信息。该类提供了许多方法来访问和操作请求的各个部分,例如请求头、请求参数、输入流等。方法),以清除上一次请求的状态,使其可以安全地用于下一个请求。【3】异常处理:在处理请求的过程中,如果发生异常,
tomcat默认最大线程数、等待队列长度、连接超时时间
热门推荐
xzh_blog
04-02 2万+
tomcat的默认最大线程数是200,默认核心线程数(最小空闲线程数)是10。 在核心线程数满了之后,会直接启用最大线程数(和JDK线程池一样,JDK线程池先使用工作队列再使用最大线程数),当达到最大线程数后,新的请求会添加到工作队列,工作队列长度是Integer.MAX_VALUE(2147483647)。
Request对象线程安全性问题分析
freakwiko的专栏
03-05 1909
Request是web应用最重要的对象之一,理论上,request线程安全的,才能在高并发的情况下保证请求处理的正确性。但是在某些情况下,request对象会出现安全的情况,同请求的request对象会存在并发访问的情况。下面以买家体验应用的一个bug为例分析下具体情况。 问题现象: 1 应用在处理并发请求的时候,偶尔会出现request.getCook...
SpringMvc学习心得(四)springmvc中request线程安全问题
浪迹中华的专栏
03-19 1万+
本文分析了springmvc如何保证request对象的线程安全
模拟高并发下Tomcat线程安全现场记录<一>
weixin_42488909的博客
07-09 413
1. 所需工具 集成开发工具(我的是STS) Tomcat,用来模拟真实请求响应服务(我的是Spring Boot内置有Tomcat) 2. 代码 ThreadInsecurity类,主要用来提供服务,这里的服务也很简单。全局变量的累加,每请求一次就加3000;100以内的每次增加都会休眠100ms(为什么要休眠?为了模拟耗时的写入操作,以达到线程安全现象。这是符合现实情况的)。 package thread; import java.util.ArrayList; import java.ut
Tomcat-session的实现:线程安全与管理,2024年最新带你轻松理解网络安全-Hook机制
04-15 905
过需要注意的是,上面的线程安全是指的同客户端间的数据是互影响的。然而对于同一个客户端的重复请求,以上实现并未处理,即可能会生成一次session,也可能生成n次session,过实际影响大,因为客户端的状态与服务端的状态都是一致的。实际是废话,前面已经明显看出,其使用一个 ConcurrentHashMap 作为session的管理容器,而ConcurrentHashMap本身就是线程安全的,自然也就保证线程安全了。// 将所有session失效,实际上应用即将关闭,失失效的应该也无所谓了。
springmvc中request线程安全问题
weixin_30826761的博客
09-29 416
SpringMvc学习心得(四)springmvc中request线程安全问题 标签:springspring mvc框架线程安全 2016-03-19 11:25611人阅读评论(1)收藏举报 分类: Spring(4) 版权声明:本文为博主原创文章,未经博主允许得转载。 servlet是单例的,而tomcat则是在多个...
Tomcat-session的实现:线程安全与管理
2401_84092574的博客
05-04 760
其它面试题(springboot、mybatis、并发、java中高级面试总结等)《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!e);try {i++) {其它面试题(springboot、mybatis、并发、java中高级面试总结等)[外链图片转存中…(img-ZPnodH2g-1714769839001)][外链图片转存中…(img-PhE9j8b6-1714769839001)]
springboot获取Request的方式和线程是否安全讨论
loveleakey的专栏
09-08 2529
springboot获取Request的方式和线程是否安全讨论
Spring MVC中获取Request的方法及分析
weixin_42184707的博客
06-11 5292
一、概述在使用Spring MVC开发Web系统时,经常需要在处理请求时使用request对象,比如获取客户端IP地址、请求的URL、header中的属性(如cookie、授权信息)、body中的数据等。由于在Spring MVC中,处理请求的Controller、Service等对象都是单例的,因此获取request对象时最需要注意的问题,便是request对象是否是线程安全的:当有大量并发请求...
初步认识web服务并发请求带来的线程安全问题
闰土的博客
07-17 597
初步认识并发请求带来的线程安全问题
Servlet的线程安全深度探讨
之后,每当有新的请求到来,而不是每次都创建新的Servlet实例,而是复用已经存在的实例,即多个请求会被同的线程分配到同一个Servlet实例上执行。这就意味着,如果Servlet实例中存在共享的非线程安全的数据(例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值