单例模式的几种写法与攻击方法

最新推荐文章于 2025-05-26 14:54:19 发布
原创 最新推荐文章于 2025-05-26 14:54:19 发布 · 置顶 · 268 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #单例模式 #攻击

本文详细介绍了Java中实现单例模式的多种方法,包括饿汉式、懒汉式、双重校验锁、静态内部类、枚举以及CAS和Lock方式,并分析了各自的优缺点和线程安全性。同时,文章提到了单例模式可能遭受的反射和序列化攻击,以及如何防范这些问题。

单例模式的几种写法与优缺点分析

饿汉式

/**
 * 饿汉式
 * 这种方式是最简单也最好理解的
 * 类加载到内存后,就实例化一个单例,JVM保证线程安全
 * 简单实用,推荐使用!
 * 唯一缺点:不管用到与否,类装载时就完成实例化
 * Class.forName("")
 * (话说你不用的,你装载它干啥)
 * ---- 解决方法:懒加载
 */
public class StaticFinal {
    /**
     * JVM保证每个Class只会漏到内存一次
     * static修饰符 让Class漏到内存之后马上进行初始化这个变量
     * 当然不同得
     */
    private static final StaticFinal INSTANCE = new StaticFinal();

//    还有一种写法
//    private static final INSTANCE INSTANCE;
//    static {
//        INSTANCE = new StaticFinal();
//    }

    /**
     * 让其他方法无法通过 new StaticFinal 获取实例
     */
    private StaticFinal() {}

    public static StaticFinal getInstance() {
        return INSTANCE;
    } 
}

懒汉式

/**
 * 懒加载(懒汉模式)
 * 目的:按需加载
 * 线程不安全
 * 解决方法:双重校验锁(下一个就是)
 */
public class LazyLoading {
    private static LazyLoading INSTANCE;
    private LazyLoading() {}
    
    public static LazyLoading getInstance() {
        if (INSTANCE == null) {
            /**
             * 但是如果当第一个线程在创建对象但是还没有创建成功,第二个线程进来,
             * 就会创建两个对象,这就是线程不安全的地方
             */
            try {
                //模拟初始化过程浪费的时间
                Thread.sleep(1);
            } catch (InterruptedException e) {
                e.printStackTrace();
            }
            /**
             * thread_2:我就在thread_1上面,
             * INSTANCE 为空时我进来的,
             * 等thread_1创建完了我也会创建创建一次,
             * 系统中就存在两个INSTANCE对象了
             *
             * thread_1:我在这,我现在要创建对象
             */
            INSTANCE = new LazyLoading();
        }
        return INSTANCE;
    }

    /**
     * 检查对象的hashCode 是否一致来判断是否是相同的对象
     */
    public static void main(String[] args) {
        for (int i = 0; i < 10; i++) {
            new Thread(() -> {
                System.err.println(LazyLoading.getInstance().hashCode());
            }).start();
        }
    }
}

懒汉式(双重校验锁)

import java.io.Serializable;
public class DoubleCheck implements Serializable {
    /** volatile 可以禁止指令重排 */
    private static /* volatile */ DoubleCheck INSTANCE;
    private DoubleCheck() {}
    /**
     * 在需要加锁的时候加锁
     */
    /**
    * synchronized 也可以直接加在方法中,但是如果方法中有其他业务逻辑会影响整体执行速度
    */
    public static /* synchronized */ DoubleCheck getInstance() {
//        当 INSTANCE == null 时继续执行,否则直接返回
        if (INSTANCE == null) {
//            当检测到 INSTANCE 为空,直接上锁,不允许其他线程访问
            synchronized (DoubleCheck.class) {
//                第二次检查INSTANCE是否有值,如果有值则直接返回,否则继续执行
//                因为加上了synchronized 锁,这时其他线程无法进入,这里就是双重检查
                if (INSTANCE == null) {
                    try {
                        Thread.sleep(10);
                    } catch (InterruptedException e) {
                        e.printStackTrace();
                    }
                    INSTANCE = new DoubleCheck();
                }
            }
        }
        return INSTANCE;
    }

    public static void main(String[] args) {
        for (int i = 0; i < 10; i++) {
            new Thread(() -> {
                System.err.println(DoubleCheck.getInstance().hashCode());
            }).start();
        }
    }
}

但是这里有一个问题需要说明,程序看起来是没有问题的,但是在高并发的情况下会出现空指针的情况,

这是因为程序在创建对象的时候分为三步:

  • 分配内存空间
  • 创建对象
  • 为对象指向内存空间

这只是我们的预期,这里需要谈到CUP执行指令的一个问题,CUP只是从缓存区里取出指令然后执行,但是CUP还有个功能是可以优化指令的执行的,所以为了某些优化方案,CUP会将指令重排,也就是CUP的乱序执行,这部分可以参考我的另一篇博客:https://blog.youkuaiyun.com/qq_36623327/article/details/107622833

也就是说CUP可能不会按照我们的预期一步一步按顺序执行命令,其执行步骤可能是这样的

  • 分配内存空间
  • 为对象指向内存空间
  • 创建对象

这当然也可以正常的创建出一个对象,在线程数没那么多的时候也没什么问题,问题的点在于,当处于高并发,程序执行到 为对象分配内存空间 这一步,第二个线程(thread_2)进来了,因为已经分配了内存空间,所以当前对象不为空,thread_2 拿到的结果就是当前实例不为空,直接使用还没有初始化好的对象,就会出现空指针异常,解决这个问题就是在对象前加入 volatile 关键字,因为 volatile 有一个功能叫做 禁止指令重排 ,这样就解决了其他线程乘虚而入的途径

静态内部类

public class StaticClass {
    private StaticClass() {}
    /**
     * JVM 加载外部类不会加载内部类,不会出现没用到就加载的情况
     * 需要使用的时候调用内部类,完成初始化,实现按需加载,
     * 线程安全,JVM 保证,加载Class只加载一次
     * 这种方式比较简单也没有明显的缺点,如果非要说缺点就是可以被使用反射的方式攻击(下文有说明)
     */
    private static class StaticClassHolder {
        private final static StaticClass INSTANCE = new StaticClass();
    }
    public static void main(String[] args) {
        for (int i = 0; i < 100; i++) {
            new Thread(() -> {
                System.err.println(StaticClass.getInstance().hashCode());
            }).start();
        }
    }
}

枚举

/**
 * 解决线程同步,反序列化的问题
 * 因为枚举类没有构造方法,反射需要使用无参构造方法,反序列化得到的又是同一个对象
 */
public enum EnumInstance {
     INSTANCE;
     public EnumInstance doSomeThing(){
        return this ;
     }

    public static void main(String[] args) {
        for (int i = 0; i < 10; i++) {
            new Thread(() -> {
                System.err.println(EnumInstance.INSTANCE.doSomeThing().hashCode());
            }).start();
        }
    }
}

CAS 方式

import java.util.concurrent.atomic.AtomicReference;
public class CAS {
    /**
     * CAS : compareAndSet
     * 基本原理
     * compareAndSet(当前值:oldValue,期望的值:expect,要设置的新值:newValue)
     * 如果传入的当前值和真实的当前值匹配,则直接进行操作
     * 当如的当前值和真实的当前值不匹配,则将传入的oldValue 修改为真正的当前值并再次调用本方法
     * 因为CAS使用的是CPU原语,不会出现某个时间点因为初始化等问题导致值不可用的情况
     */
    private static final AtomicReference<CAS> INSTANCE = new AtomicReference<CAS>();
    private CAS() {}
    public static CAS getInstance() {
        for (; ; ) {
            CAS instance = INSTANCE.get();
            if (instance != null) {
                return instance;
            }
            instance = new CAS();
            if (INSTANCE.compareAndSet(null, instance)) {
                return instance;
            }
        }
    }
}

Lock 可重入锁

import java.util.concurrent.locks.ReentrantLock;
/**
*  和双重校验锁差不多,这种更加灵活
*/
public class Lock {
    private static Lock instance = null;
    private static ReentrantLock lock = new ReentrantLock();
    private Lock() {}
    public static Lock getInstance() {
        if(instance == null) {
            lock.lock(); // 显式调用,手动加锁
            if(instance == null) {
                instance = new Lock();
            }
            lock.unlock(); // 显式调用,手动解锁
        }
        return instance;
    }
    public static void main(String[] args) {
        for (int i = 0; i < 100; i++) {
            new Thread(() ->{
                System.err.println(Lock.getInstance().hashCode());
            }).start();
        }
    }
}

单例模式的攻击

import java.io.*;
import java.lang.reflect.Constructor;
/**
 * 单例模式的创建与攻击
 */
public class SingletonAttack {
    public static void main(String[] args) throws Exception {
        reflectionAttack();
//        serializationAttack();
    }
    /**
     * 单例模式反射攻击
     * @throws Exception
     */
    public static void reflectionAttack() throws Exception {
        Constructor<DoubleCheck> constructor = DoubleCheck.class.getDeclaredConstructor();
        constructor.setAccessible(true); // 允许访问私有对象
        System.err.println(constructor.newInstance() == constructor.newInstance());
    }

    /**
     * 单例模式序列化攻击
     * @throws Exception
     */
    /**
     * 为什么会发生这种事?
     * 在ObjectInputStream.readObject()方法执行时,其内部方法readOrdinaryObject()中有这样一句话:
     * *** obj = desc.isInstantiable() ? desc.newInstance() : null; ***
     * 其中desc是类描述符。也就是说,如果一个实现了Serializable/Externalizable接口的类可以在运行时实例化,
     * 那么就调用newInstance()方法,使用其默认构造方法反射创建新的对象实例,自然也就破坏了单例性。
     * 要防御序列化攻击,就得将 instance声明为 transient,
     * private static volatile transient DoubleCheck INSTANCE;
     * transient : 将不需要序列化的属性前添加关键字transient,序列化对象的时候,这个属性就不会被序列化
     * 并且在单例中加入以下语句:
     * private Object readResolve() {
     * return instance;
     * }
     * 这是因为在上述readOrdinaryObject()方法中,
     * 会通过语句desc.hasReadResolveMethod()检查类中是否存在名为readResolve()的方法,
     * 如果有,就执行desc.invokeReadResolve(obj)调用该方法。
     * readResolve()会用自定义的反序列化逻辑覆盖默认实现,因此强制它返回instance本身,
     * 就可以防止产生新的实例
     *
     * @throws Exception
     */
    public static void serializationAttack() throws Exception {
        ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("serFile"));
        DoubleCheck s1 = DoubleCheck.getInstance();
        outputStream.writeObject(s1);
        ObjectInputStream inputStream = new ObjectInputStream(new FileInputStream(new File("serFile")));
        DoubleCheck s2 = (DoubleCheck) inputStream.readObject();
        System.out.println(s1 == s2);
    }
}
Java硬核知识:设计模式落地误区】单例模式的七种写法:从DCL到枚举的终极进化
专注于人工智能、软件开发、工控自动化、工厂数字化及智能化等领域,希望和大家共同进步!
04-18 1270
摘要:单例模式作为 Java 设计模式中最为基础且常用的模式之一,其实现方式多样。本文深入探讨了单例模式的七种常见写法,从双检锁(DCL)到枚举的演变过程。着重分析了双检锁中 volatile 的必要性、静态内部类实现延迟加载的原理以及枚举防反射攻击的原理。通过详细的实操流程和完整代码示,帮助开发者正确理解和运用单例模式,避免在实际开发中陷入设计模式落地的误区。
防止反射攻击单例模式-siglton -摘自《effective java
极客栈
11-20 553
pubic class SigltonDemo{ private static final SigltonDemo SIGLTONDEMO = new SigltonDemo (); public static SigltonDemo getInstance() { return SIGLTONDEMO; } private SigltonDem
设计模式单例模式(反射攻击
weixin_43689040的博客
12-17 284
模拟反射攻击 饿汉式模拟 饿汉式 public class HungrySingleton implements Serializable { private final static HungrySingleton hungrySingleton; static { hungrySingleton=new HungrySingleton(); } ...
单例模式 反射攻击解决方案
淡然的博客
12-08 664
对于在类加载时创建对象 1.静态内部类 2.饿汉式 在私有构造器内部加判断即可抵御反射攻击(下面以饿汉式) public class HungarySingleton { private static final HungarySingleton hungarySingleton; static { hungarySingleton = new HungarySingleton(); } private HungarySing.
单例模式,一种防反射攻击写法
u011546032的博客
07-11 231
单例模式,一种防反射攻击写法 文章目录单例模式,一种防反射攻击写法介绍代码实现 介绍 单例模式一般用于只需要一个对象的场景,必须http请求工具类,我们不需要多个,就可以用写法 代码实现 public class UtilSync { private static UtilSync sync; private UtilSync(){ System.out....
java单例模式
liangweihao的博客
12-18 242
单例模式
如何防止单例模式JAVA反射攻击
热门推荐
朱小厮的博客
01-15 1万+
欢迎支持笔者新作:《深入理解Kafka:核心设计实践原理》和《RabbitMQ实战指南》,同时欢迎关注笔者的微信公众号:朱小厮的博客。 单例模式相信大家都知道,用过的人不在少数。之前写过一篇博文《singleton模式四种线程安全的实现》(参见:http://blog.youkuaiyun.com/u013256816/article/details/50427061),讲诉了单例模式...
单例模式你会几种写法
weixin_72753070的博客
08-02 664
一个类中能创建一个实,所以称之为!那我们什么时候会用到单例模式呢??那我们想想既然一个类中只能创建一个实了,那么可以说这是跟类的状态对象无关的了。频繁创建对象、管理对象是一件耗费资源的事,我们只需要创建一个对象来用就足够了!Servlet是的Struts2是多的SpringMVC是的那既然多是频繁创建对象、需要管理对象的,那Struts2为什么要多呢??主要由于设计层面上的问题,Struts2是基于Filter拦截类的,ognl引擎对变量是注入的。效果是一样的啊。。...
Java单例模式的七种写法:从饿汉式到枚举式的演进
最新发布
记录学习的过程
05-26 1704
本文详细介绍了Java中实现单例模式的七种方法,包括饿汉式、懒汉式、双重检查锁、静态内部类、枚举式等。每种实现方式都分析了其优缺点和适用场景,其中枚举式被《Effective Java》推荐为最佳实践,能有效防止反射和序列化攻击。文章还强调了单例模式的核心要素,如线程安全、延迟加载和防止破坏的措施。通过对比不同实现,开发者可以根据具体需求选择最合适的单例模式实现方案。
几种写法
03-25
好的,我现在需要帮用户了解单例模式的不同实现方法。用户已经提到参考了三个引用内容,里面提到了饿汉式、懒汉式、静态内部类、双检锁等几种方式。首先,我应该先整理这些实现方式,确保每个都正确并且符合引用中的...
2022春招备战【手撕代码必问系列】你知道单例模式有十种写法吗?
韩旭051的博客
04-10 2509
孔乙己是如此地让人快活,可是没有他,人们也照样过。有一天,大约是中秋的前两天,一个面试官说,孔乙己呢,他还欠我一个懒汉呢?我也才觉着他好久都没手撕代码了。一个经常抖机灵的说,他怎么会来?赔了个一干二净。面试官说哦?“他总是被面试八股,背昏了头,几天前竟然在牛客网里晒网易面试的面经,丁举人是学法律的,现在是资深老律师,自然起诉孔乙己,到最后孔乙己删了文章,赔了500袋茴香豆。”“后来呢?” “怕是退出了春招吧” 不抖机灵了 还是说回单例模式吧 我参加的春招的每场面试 但凡手撕代码了 都要手撕单例模式 对于
Java---反射攻击破坏和解决方法
景川的博客
11-22 4504
之前写过几篇的文章: Java—双重锁校验详解 Java—序列化破坏单例模式原理解析 Java—静态内部类 在静态内部类中引出了反射攻击的问题,本篇就来说一下反射攻击,废话不多少说上代码: import java.lang.reflect.Constructor; import java.lang.reflect.InvocationTargetException; public...
防止单例模式攻击的一个Demo
Fighting
09-07 446
我们要创建的的类如下:package DesignMode;public class SingletonMode { private static volatile SingletonMode single = null; private static boolean flag = true; private SingletonMode() { syn
Java---反射攻击和解决方法
suwenlai的博客
06-18 296
在静态内部类中引出了反射攻击的问题,本篇就来说一下反射攻击,废话不多少说上代码: import java.lang.reflect.Constructor; import java.lang.reflect.InvocationTargetException; public class Test1 { public static void main(String[] args) th...
单例模式以及反射对单例模式的破坏及防御
weixin_54574094的博客
09-07 1766
单例模式Java 中非常重要的设计模式,它确保了类只有一个实,但由于 Java 的反射机制,饿汉式、懒汉式、双重校验锁和静态内部类实现的单例模式都可以被反射轻松破坏。通过在构造方法中添加实校验机制,我们可以有效防止反射创建多个实。饿汉式:即使不使用,也会提前加载,浪费内存。懒汉式:通过实现线程安全的懒加载,但并发性能较低。双重校验锁:提高了并发性能,使用volatile防止指令重排问题。静态内部类:相较于双重校验锁更加优雅,实现了懒加载和线程安全。
单例模式下防止攻击(反射攻击)
msy7788的博客
10-25 1735
这几天看了几篇java单例模式,以前也看过很多java的创建什么的,也知道怎么创建这些,比如懒汉啊、饿汉啊、枚举啊什么的,但是一直就是不明白为什么就是安全的,为什么懒汉和饿汉就没有枚举安全? 直到这几天看点儿多线程的东西才发现,多线程里面要求全局变量是固定的,不可变得(为什么?)。举个子:买票的时候,有三个窗口,同时去卖票。这三个窗口的售票员都要从统一的地方去取票,这统一的地方其...
攻防世界(pwn)echo_back + magic (_IO_FILE文件流攻击初探)
PLpa的博客
03-14 1501
前言: 这两题都是关于_IO_FILE文件流攻击的题目,如果对_IO_FILE文件流不是很清楚,可以看ctfwiki中的_IO_FILE介绍——传送门。 echo_back——关于_IO_2_1_stdin结构的利用 文件保护全开,不能got覆写。 进入IDA,发现程序有两个功能,一个是setname,一个是echo back。 查看setname功能,发现此功能只能输入7个字节,不具备RO...
IO流标准异常的两种写法,你知道吗?
小异常的博客
04-16 830
一、1.6版本及以前的写法;二、1.7版本(try-with-resource 语句)的写法
java 反射类_Java---反射攻击和解决方法
weixin_29271053的博客
02-16 298
静态内部类中引出了反射攻击的问题import java.lang.reflect.Constructor;import java.lang.reflect.InvocationTargetException;public classTest1 {public static voidmain(String[] args) throws NoSuchMethodException, IllegalAc...
Java单例模式七种写法详解:懒汉式线程安全
本文档主要介绍了Java设计模式中的单例模式,一种常用的设计模式,其目标是确保一个类仅有一个实,并且该实能被全局共享。单例模式有三个关键特性: 1. 唯一实类确保在整个系统中只有一个实存在。 2....
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值