Spring Singleton的陷阱

最新推荐文章于 2025-07-17 20:01:33 发布
最新推荐文章于 2025-07-17 20:01:33 发布
阅读量88 收藏
点赞数
分类专栏: 技术天地 文章标签: Spring Acegi 单元测试 Bean 配置管理
本文探讨了在Spring框架中使用Singleton作用域的Bean时,如何正确获取当前登录用户的信息,避免因不当使用而导致的数据安全问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这是一个真实的案例,我们在项目中使用Spring和ACEGI,我之所以选择ACEGI,除了它对权限的良好控制外,
我还看好它的SecurityContextHolder,通过代码
[code]
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
[/code]
我可以很容易在系统任意一层得到用户的信息,而不用把用户信息在参数里传来传去,(这也是struts的缺点之一)
但是我在每一次要得到用户信息的时候都写上面的一段代码,未免有些麻烦,所以我在BaseService, BaseDao里都提供了如下方法:
[code]
/**
* get current login user info
* @return UserInfo
*/
protected UserInfo getUserInfo()
{
return getUserContext().getUserInfo();
}

/**
* get current login user context
* @return UserContext
*/
protected UserContext getUserContext()
{
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
return (UserContext) auth.getPrincipal();
}
[/code]
这样在其他的Service和Dao类里可以通过
[code]
super.getUserContext(), super.getUserInfo()
[/code]
来得到用户的信息,这也为问题的产生提供了温床。请看如下代码:
[code]
public class SomeServece extends BaseService implements SomeInterFace
{
private UserInfo user = super.getUserInfo();

public someMethod()
{
int userID = this.user.getUserID();
String userName = this.user.getUserName();
//bla bla do something user userID and userNaem
}
}
[/code]

这段代码在单元测试的时候不会用任何问题,但是在多用户测试的情况下,你会发现任何调用SomeService里someMethod()方法
的userID和userName都是同一个人,也就是第一个登陆的人的信息。Why?
[b]
其根本原因是Spring的Bean在默认情况下是Singleton的,Bean SomeServece的实例只会生成一份,也就是所SomeServece实例的user
对象只会被初始化一次,就是第一次登陆人的信息,以后不会变了。所以BaseService想为开发提供方便,却给开发带来了风险
[/b]
正确的用法应该是这样的
[code]
public class SomeServece extends BaseService implements SomeInterFace
{


public someMethod()
{
int userID = super.getUserInfo().getUserID();
String userName = super.getUserInfo().getUserName();
//bla bla do something user userID and userNaem
}
}
[/code]
警惕 Singleton 绕过陷阱:ABAP 与 Java 实战剖析
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
07-21 60
在 ABAP 与 Java 里,永远假设外部世界会序列化或反射你的对象。序列化绕过是 ABAP 独有痛点,反射则是 Java 首要风险。构造器内维护“一次性”标志并抛错,是最简而有效的保护措施。Java 枚举式单例更安全,尽量优先使用。所有序列化路径必须覆写,让反序列化返回缓存实例。在 ABAP 中使用工厂代替直接序列化对象,序列化键值而非整对象。引入静态代码分析 + 单元测试,自动捕捉潜在绕过代码。出现莫名其妙的多实例时,立刻排查序列化与反射场景,而非仅关注容器配置。
SpringBean的线程安全问题:从单例陷阱到高并发实践
墨夶的博客
07-19 1323
Spring Bean线程安全性取决于作用域和实现方式。单例Bean默认线程不安全,需通过同步机制(如synchronized、ReentrantLock)或原子类(AtomicInteger)保护共享状态;原型Bean和Request/Session作用域天然线程安全。无状态设计(避免成员变量)是终极解决方案。ThreadLocal可隔离线程上下文,但需注意内存泄漏。高并发场景下,建议结合线程安全容器(如Atomic类)和细粒度锁优化性能。此外,原型Bean注入需使用ObjectFactory延迟获取实例
Java进阶之SpringIoC应用共18页.pdf.zi
11-20
12. **最佳实践**:提供了一些关于如何有效使用Spring IoC的最佳实践和示例,以避免常见的设计陷阱。 通过学习上述知识点,开发者不仅可以理解Spring IoC的基本概念,还能熟练运用到实际项目中,提升项目的质量和可...
在 ABAP 中模拟 Java Spring @Inject 依赖注入:理念、原理、原型实现与企业级落地指南
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
07-17 74
想让 ABAP 代码也像 Java Spring 一样,轻描淡写地在属性上打一个注解,框架就自动把依赖对象塞进来?这听上去像魔法。其实,借助 ABAP OO、RTTI、工厂模式与少量约定,我们完全可以搭建一个轻量级容器,把 Spring 世界里的@Inject思想搬到 ABAP 环境里,用于解耦、测试、可配置化与加速创新。本文带你拆解理念,复盘原型,扩展到真实项目中的可行架构,并提供可运行示例代码与落地清单。灵感来自 SAP Community 上关于在 ABAP 中模拟 Java Spring
利用BP神经网络潜在蒸发预测蒸发量
08-15
资源下载链接为: https://pan.quark.cn/s/51751dab8b8a 利用BP神经网络潜在蒸发预测蒸发量(最新、最全版本!打开链接下载即可用!)
【产品单页】ScanMail for Domin&Exchange_CN_120829.pdf
08-15
【产品单页】ScanMail for Domin&Exchange_CN_120829.pdf
微信小程序里基于神经网络的飞鸟小游戏
08-15
资源下载链接为: https://pan.quark.cn/s/b54200d3438d 微信小程序里基于神经网络的飞鸟小游戏(最新、最全版本!打开链接下载即可用!)
Labubu为什么火?基于多平台数据的潮玩IP受众与舆情分析(数据集+源码).rar
08-15
Labubu为什么火?基于多平台数据的潮玩IP受众与舆情分析(数据集+源码).rar
利用传统方法(N-gram,HMM等)、神经网络方法(CNN,LSTM等)和预训练方法(Bert等)的中文分词任务实现The word segmentation task is realized b
08-15
资源下载链接为: https://pan.quark.cn/s/6b5395dd50b9 利用传统方法(N-gram,HMM等)、神经网络方法(CNN,LSTM等)和预训练方法(Bert等)的中文分词任务实现【The word segmentation task is realized by using traditional methods (n-gram, …(最新、最全版本!打开链接下载即可用!)
智能物业管理系统的设计与实现 最终稿.doc
08-15
智能物业管理系统的设计与实现 最终稿
spring-webflux-5.3.0-M2.jar中文文档.zip
08-15
1、压缩文件中包含: 中文文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
基于SpringBoot技术的药店管理系统的设计与实现.docx
08-15
基于SpringBoot技术的药店管理系统的设计与实现
基于 YOLOv3 目标检测神经网络与数据集实现行人、自行车及机动车识别
08-15
资源下载链接为: https://pan.quark.cn/s/3e4af7ab09d2 基于 YOLOv3 目标检测神经网络与数据集实现行人、自行车及机动车识别(最新、最全版本!打开链接下载即可用!)
spring-webflux-5.1.16.RELEASE.jar中文文档.zip
08-15
1、压缩文件中包含: 中文文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
OPCUA与OPCServer通讯测试客户端程序_1.zip
08-15
OPCUA(OPC统一架构)是一种开放标准通信协议,用于工业自动化和其他领域的设备和系统之间的数据交换。它建立在 OPC Foundation 的基础之上,旨在替代早期的 OPC DA(OPC 数据访问),提供更安全、更高效且平台无关的通信方式。本压缩包“OPCUA与OPCServer通讯测试客户端程序.zip”包含了实现OPCUA客户端与OPCServer服务端通讯测试的相关资源。 1. OPCUA协议:OPCUA的核心特性在于它的服务导向架构,包括了数据访问、历史数据访问、报警和事件、方法调用等服务。它使用TCP/IP作为传输层,并支持SSL/TLS加密,确保数据传输的安全性。OPCUA还引入了发布/订阅模型,允许实时数据流的高效传输。 2. OPCServer:OPCServer是OPCUA架构中的一个组件,通常由设备制造商或软件供应商提供,它将特定设备或系统的数据暴露给OPCUA客户端,使得多个应用程序可以共享这些数据。例如,KepServer是OPCServer的一种,它可以连接到各种PLC(可编程逻辑控制器)、SCADA系统和其他工业设备。 3. OPCUA客户端:客户端是使用OPCUA协议来访问OPCServer服务的应用程序。在这个压缩包中,提供的客户端程序应该能够发现OPCServer,建立安全连接,浏览OPCServer提供的节点结构,读取和写入数据,以及订阅变化。 4. OPCUA访问KepServer:KepServer是OPC基金会认证的服务器,支持OPCUA协议。通过OPCUA客户端,你可以与KepServer进行交互,获取或控制连接到KepServer的设备或系统的数据。这在设备监控、数据采集和自动化应用中非常常见。 5. 测试过程:通讯测试通常涉及以下步骤: - 安装和配置OPCServer(如KepServer)。 - 运行客户端程序,配置OPCServer的连接参数,包括地址、端口、认证信息等。 - 使用客户端发现OPCServer上的可用服务和数据节点。 - 测试读写操作,验证数据传输的正确性和实时性。 - 可能还包括性能测试,检查数据刷新速率和网络负载。 6. 遵循OPCUA标准:OPCUA提供了丰富的API和SDK,允许开发者创建符合标准的客户端和服务器应用。在实现OPCUA通讯时,必须遵循OPCUA的信息模型和接口定义,确保与其他OPCUA兼容设备的互操作性。 7. 安全性考虑:OPCUA内置了安全机制,如身份验证、授权和加密。客户端和服务器间的通信应配置适当的安全策略,以防止未授权访问和数据泄露。 通过这个压缩包,用户可以学习和实践如何建立和测试OPCUA客户端与OPCServer之间的通讯,这对于理解和开发基于OPCUA的工业自动化解决方案至关重要。同时,对于那些需要集成不同设备或系统的项目,了解并掌握OPCUA技术是非常有价值的。
py zip copy 815
最新发布
08-15
py zip copy 815
深入学习循环神经网络(RNN)的方法与技巧
08-15
资源下载链接为: https://pan.quark.cn/s/8a7ca10dbd74 深入学习循环神经网络(RNN)的方法与技巧(最新、最全版本!打开链接下载即可用!)
基于springboot二手物品交易网站系统【附万字论文+PPT+包部署+录制讲解视频】.zip
08-15
标题基于Spring Boot的二手物品交易网站系统研究AI更换标题第1章引言阐述基于Spring Boot开发二手物品交易网站的研究背景、意义、现状及本文方法与创新点。1.1研究背景与意义介绍二手物品交易的市场需求和Spring Boot技术的适用性。1.2国内外研究现状概述当前二手物品交易网站的发展现状和趋势。1.3论文方法与创新点说明本文采用的研究方法和在系统设计中的创新之处。第2章相关理论与技术介绍开发二手物品交易网站所涉及的相关理论和关键技术。2.1Spring Boot框架解释Spring Boot的核心概念和主要特性。2.2数据库技术讨论适用的数据库技术及其在系统中的角色。2.3前端技术阐述与后端配合的前端技术及其在系统中的应用。第3章系统需求分析详细分析二手物品交易网站系统的功能需求和性能需求。3.1功能需求列举系统应实现的主要功能模块。3.2性能需求明确系统应满足的性能指标和安全性要求。第4章系统设计与实现具体描述基于Spring Boot的二手物品交易网站系统的设计和实现过程。4.1系统架构设计给出系统的整体架构设计和各模块间的交互方式。4.2数据库设计详细阐述数据库的结构设计和数据操作流程。4.3界面设计与实现介绍系统的界面设计和用户交互的实现细节。第5章系统测试与优化说明对系统进行测试的方法和性能优化的措施。5.1测试方法与步骤测试环境的搭建、测试数据的准备及测试流程。5.2测试结果分析对测试结果进行详细分析,验证系统是否满足需求。5.3性能优化措施提出针对系统性能瓶颈的优化建议和实施方案。第6章结论与展望总结研究成果,并展望未来可能的研究方向和改进空间。6.1研究结论概括本文基于Spring Boot开发二手物品交易网站的主要发现和成果。6.2展望与改进讨论未来可能的系统改进方向和新的功能拓展。
spring-webflux-5.3.1.jar中文文档.zip
08-15
1、压缩文件中包含: 中文文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值