HttpServletRequest介绍
HttpServletRequest对象代表客户端的请求,当客户端通过HTTP协议访问服务器时,HTTP请求头中的所有信息都封装在这个对象中,通过这个对象提供的方法,可以获得客户端请求的所有信息。
引言
本文主要介绍的是关于spring mvc直接注入HttpServletRequst安全的相关内容,看似很简单的一个问题,借此追踪下spring的源码处理
在写springMVC的Control中有很多这种代码, 如需要获取request对象去做某些事情
如:
@Controller @RequestMapping(value = "/user") public class LoanActionPage extends AbstractAction { @RequestMapping(value = "/page/active") public String loanAaccountActivePage(HttpServletRequest request) { // get request to dosomething String pathInfo = request.getPathInfo(); return "active"; } }
貌似每次要写个control时都得把request当住参数来传,很是冗余。
其实可以在control里定义一个request对象,注入,然后随时用
如:
public class AbstractAction { @Autowired protected HttpServletRequest request; ... ...
然后在control中直接用:
@Controller @RequestMapping(value = "/user") public class LoanActionPage extends AbstractAction { @RequestMapping(value = "/page/active") public String loanAaccountActivePage() { // get request to dosomething String pathInfo = request.getPathInfo(); return "active"; } }
那么问题来了,sevlet是多线程的,每次请求的request其实是个新的对象,这样直接共享引用,是否会造成线程不安全呢?
方便了,问题也来了,servelt其实是多线程,共享一个request是否会有安全问题呢,分析下spring的代码
1, 注入的request何处来?
发现是注入其实是往WebApplicationContextUtils通过RequestObjectFactory拿值,跟踪
返回的是RequestContextHolder里的值. 追踪RequestContextHolder
每次返回的其实是, RequestAttributes的实现类ServletWebRequest(ServletRequestAttributes)里的request. 因为RequestAttributes是属于threadLocal的,所以注入的request也是线程安全的了
2, spring何时设置的request对象?
HttpServlet实现类 FrameworkServlet-> service()->processRequst()
每次请求都会往里面设置最新的request, 设值
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对呐喊教程的支持。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:notice#nhooo.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。