Session跟SessionFactory的线程安全与非安全

　SessionFactory负责创建session，SessionFactory是线程安全的，多个并发线程可以同时访问一个

SessionFactory 并从中获取Session实例。 （SessionFactory源码大部分是final修饰的）

---

而Session并非线程安全，也就是说，如果多个线程同时使用一个Session实例进行数据存取，则将会导致 Session 数据存取逻辑混乱.因此创建的Session实例必须在本地存取空上运行，使之总与当前的线程相关。这里就需要用到ThreadLocal,在很多种Session 管理方案中都用到了它.ThreadLocal 是Java中一种较为特殊的线程绑定机制，通过ThreadLocal存取的数据， 总是与当前线程相关， 也就是说，JVM 为每个运行的线程，绑定了私有的本地实例存取空间，从而为多线程环境常出现的并发访问问题提供了一种隔离机制,ThreadLocal并不是线程本地化的实现,而是线程局部变量。也就是说每个使用该变量的线程都必须为该变量提供一个副本,每个线程改变该变量的值仅仅是改变该副本的值,而不会影响其他线程的该变量的值,ThreadLocal是隔离多个线程的数据共享，不存在多个线程之间共享资源,因此不再需要对线程同步。（session实现类）

千万不要把session,或者 session里面的对象直接传递给业务层，因为你的业务处理一半时，同样可能出现session对象被改变的情况。有可能造成重要数据出现偏差。
举例：

session 对应三个产品，
事务里面循环了产品，并计算了总价格，
计算完毕，准备保存时，session变了，产品变成了4个。
此时开始保存。产品保存了4个，可总价格却还是3个的。

出现了数据不一致。

修改后的例子
session 对应三个产品
重新生成一个产品对象数组，把session数据复制过来，然后传递给业务层
事务里面循环计算总价格
计算完毕，此时session变了，但并不影响我们这个新的产品数组对象
保存，三个产品，价格也正确。

1. HttpSession session =  request.getSession();
2. List<Product>  list = session.getAttribute("productCart");
3. List<Product> listNew = new ArrayList<Product>();
4. Product pNew;
5. for(Product p : list){
6. pNew = new Product();
7. pNew.setProductId(p.getProductId());
8. // 其它的复制参数的语句
9. listNew.add(pNew); // 保存到新的列表里面
10. }
11. myService.save(listNew); // 保存购物车数据到数据库，这个是安全的

总结：
有些线程安全问题是很隐蔽的，等你出了问题，很可能根本不认为会是那里出的问题。记住一点，Java里面的对象传递的是对象的引用，只要2个地方用了相同的引用，则其它地方的变动，这一面也会变动。