简介

java类中会定义很多变量,有类变量也有实例变量,这些变量在访问的过程中,会遇到一些可见性和原子性的问题。这里我们来详细了解一下怎么避免这些问题。

不可变对象的可见性

不可变对象就是初始化之后不能够被修改的对象,那么是不是类中引入了不可变对象,所有对不可变对象的修改都立马对所有线程可见呢?

实际上,不可变对象只能保证在多线程环境中,对象使用的安全性,并不能够保证对象的可见性。

先来讨论一下可变性,我们考虑下面的一个例子:

public final class ImmutableObject {

    private final int age;

    public ImmutableObject(int age){

        this.age=age;

    }

}

我们定义了一个ImmutableObject对象,class是final的,并且里面的唯一字段也是final的。所以这个ImmutableObject初始化之后就不能够改变。

然后我们定义一个类来get和set这个ImmutableObject:

public class ObjectWithNothing {

    private ImmutableObject refObject;

    public ImmutableObject getImmutableObject(){

        return refObject;

    }

    public void setImmutableObject(int age){

        this.refObject=new ImmutableObject(age);

    }

}

上面的例子中,我们定义了一个对不可变对象的引用refObject,然后定义了get和set方法。

注意,虽然ImmutableObject这个类本身是不可变的,但是我们对该对象的引用refObject是可变的。这就意味着我们可以调用多次setImmutableObject方法。

再来讨论一下可见性。

上面的例子中,在多线程环境中,是不是每次setImmutableObject都会导致getImmutableObject返回一个新的值呢?

答案是否定的。

当把源码编译之后,在编译器中生成的指令的顺序跟源码的顺序并不是完全一致的。处理器可能采用乱序或者并行的方式来执行指令(在JVM中只要程序的最终执行结果和在严格串行环境中执行结果一致,这种重排序是允许的)。并且处理器还有本地缓存,当将结果存储在本地缓存中,其他线程是无法看到结果的。除此之外缓存提交到主内存的顺序也肯能会变化。

怎么解决呢?

最简单的解决可见性的办法就是加上volatile关键字,volatile关键字可以使用java内存模型的happens-before规则,从而保证volatile的变量修改对所有线程可见。

public class ObjectWithVolatile {

    private volatile ImmutableObject refObject;

    public ImmutableObject getImmutableObject(){

        return refObject;

    }

    public void setImmutableObject(int age){

        this.refObject=new ImmutableObject(age);

    }

}

另外,使用锁机制,也可以达到同样的效果:

public class ObjectWithSync {

    private  ImmutableObject refObject;

    public synchronized ImmutableObject getImmutableObject(){

        return refObject;

    }

    public synchronized void setImmutableObject(int age){

        this.refObject=new ImmutableObject(age);

    }

}

最后,我们还可以使用原子类来达到同样的效果:

public class ObjectWithAtomic {

    private final AtomicReference<ImmutableObject> refObject= new AtomicReference<>();

    public ImmutableObject getImmutableObject(){

        return refObject.get();

    }

    public void setImmutableObject(int age){

        refObject.set(new ImmutableObject(age));

    }

}

保证共享变量的复合操作的原子性

如果是共享对象,那么我们就需要考虑在多线程环境中的原子性。如果是对共享变量的复合操作,比如:++, -- *=, /=, %=, +=, -=, <<=, >>=, >>>=, ^= 等,看起来是一个语句,但实际上是多个语句的集合。

我们需要考虑多线程下面的安全性。

考虑下面的例子:

public class CompoundOper1 {

    private int i=0;

    public int increase(){

        i++;

        return i;

    }

}

例子中我们对int i进行累加操作。但是++实际上是由三个操作组成的:

  1. 从内存中读取i的值,并写入CPU寄存器中。
  2. CPU寄存器中将i值+1
  3. 将值写回内存中的i中。

如果在单线程环境中,是没有问题的,但是在多线程环境中,因为不是原子操作,就可能会发生问题。

解决办法有很多种,第一种就是使用synchronized关键字

    public synchronized int increaseSync(){

        i++;

        return i;

    }

第二种就是使用lock:

    private final ReentrantLock reentrantLock=new ReentrantLock();

    public int increaseWithLock(){

        try{

            reentrantLock.lock();

            i++;

            return i;

        }finally {

            reentrantLock.unlock();

        }

    }

第三种就是使用Atomic原子类:

    private AtomicInteger atomicInteger=new AtomicInteger(0);

    public int increaseWithAtomic(){

        return atomicInteger.incrementAndGet();

    }

保证多个Atomic原子类操作的原子性

如果一个方法使用了多个原子类的操作,虽然单个原子操作是原子性的,但是组合起来就不一定了。

我们看一个例子:

public class CompoundAtomic {

    private AtomicInteger atomicInteger1=new AtomicInteger(0);

    private AtomicInteger atomicInteger2=new AtomicInteger(0);

    public void update(){

        atomicInteger1.set(20);

        atomicInteger2.set(10);

    }

    public int get() {

        return atomicInteger1.get()+atomicInteger2.get();

    }

}

上面的例子中,我们定义了两个AtomicInteger,并且分别在update和get操作中对两个AtomicInteger进行操作。

虽然AtomicInteger是原子性的,但是两个不同的AtomicInteger合并起来就不是了。在多线程操作的过程中可能会遇到问题。

同样的,我们可以使用同步机制或者锁来保证数据的一致性。

保证方法调用链的原子性

如果我们要创建一个对象的实例,而这个对象的实例是通过链式调用来创建的。那么我们需要保证链式调用的原子性。

考虑下面的一个例子:

public class ChainedMethod {

    private int age=0;

    private String name="";

    private String adress="";

    public ChainedMethod setAdress(String adress) {

        this.adress = adress;

        return this;

    }

    public ChainedMethod setAge(int age) {

        this.age = age;

        return this;

    }

    public ChainedMethod setName(String name) {

        this.name = name;

        return this;

    }

}

很简单的一个对象,我们定义了三个属性,每次set都会返回对this的引用。

我们看下在多线程环境下面怎么调用:

        ChainedMethod chainedMethod= new ChainedMethod();

        Thread t1 = new Thread(() -> chainedMethod.setAge(1).setAdress("www.flydean.com1").setName("name1"));

        t1.start();

        Thread t2 = new Thread(() -> chainedMethod.setAge(2).setAdress("www.flydean.com2").setName("name2"));

        t2.start();

因为在多线程环境下,上面的set方法可能会出现混乱的情况。

怎么解决呢?我们可以先创建一个本地的副本,这个副本因为是本地访问的,所以是线程安全的,最后将副本拷贝给新创建的实例对象。

主要的代码是下面样子的:

public class ChainedMethodWithBuilder {

    private int age=0;

    private String name="";

    private String adress="";

    public ChainedMethodWithBuilder(Builder builder){

        this.adress=builder.adress;

        this.age=builder.age;

        this.name=builder.name;

    }

    public static class Builder{

        private int age=0;

        private String name="";

        private String adress="";

        public static Builder newInstance(){

            return new Builder();

        }

        private Builder() {}

        public Builder setName(String name) {

            this.name = name;

            return this;

        }

        public Builder setAge(int age) {

            this.age = age;

            return this;

        }

        public Builder setAdress(String adress) {

            this.adress = adress;

            return this;

        }

        public ChainedMethodWithBuilder build(){

            return new ChainedMethodWithBuilder(this);

        }

    }

我们看下怎么调用:

      final ChainedMethodWithBuilder[] builder = new ChainedMethodWithBuilder[1];

        Thread t1 = new Thread(() -> {

            builder[0] =ChainedMethodWithBuilder.Builder.newInstance()

                .setAge(1).setAdress("www.flydean.com1").setName("name1")

                .build();});

        t1.start();

        Thread t2 = new Thread(() ->{

            builder[0] =ChainedMethodWithBuilder.Builder.newInstance()

                .setAge(1).setAdress("www.flydean.com1").setName("name1")

                .build();});

        t2.start();

因为lambda表达式中使用的变量必须是final或者final等效的,所以我们需要构建一个final的数组。

读写64bits的值

在java中,64bits的long和double是被当成两个32bits来对待的。

所以一个64bits的操作被分成了两个32bits的操作。从而导致了原子性问题。

考虑下面的代码:

public class LongUsage {

    private long i =0;

    public void setLong(long i){

        this.i=i;

    }

    public void printLong(){

        System.out.println("i="+i);

    }

}

因为long的读写是分成两部分进行的,如果在多线程的环境中多次调用setLong和printLong的方法,就有可能会出现问题。

解决办法本简单,将long或者double变量定义为volatile即可。

private volatile long i = 0;

本文的代码:

learn-java-base-9-to-20/tree/master/security

本文已收录于 http://www.flydean.com/java-security-code-line-visibility-atomicity/

最通俗的解读,最深刻的干货,最简洁的教程,众多你不知道的小技巧等你来发现!

欢迎关注我的公众号:「程序那些事」,懂技术,更懂你!

java安全编码指南之:可见性和原子性的更多相关文章

  1. java安全编码指南之:基础篇

    目录 简介 java平台本身的安全性 安全第一,不要写聪明的代码 在代码设计之初就考虑安全性 避免重复的代码 限制权限 构建可信边界 封装 写文档 简介 作为一个程序员,只是写出好用的代码是不够的,我 ...

  2. java安全编码指南之:Mutability可变性

    目录 简介 可变对象和不可变对象 创建mutable对象的拷贝 为mutable类创建copy方法 不要相信equals 不要直接暴露可修改的属性 public static fields应该被置位f ...

  3. java安全编码指南之:字符串和编码

    目录 简介 使用变长编码的不完全字符来创建字符串 char不能表示所有的Unicode 注意Locale的使用 文件读写中的编码格式 不要将非字符数据编码为字符串 简介 字符串是我们日常编码过程中使用 ...

  4. java安全编码指南之:输入校验

    目录 简介 在字符串标准化之后进行校验 注意不可信字符串的格式化 小心使用Runtime.exec() 正则表达式的匹配 简介 为了保证java程序的安全,任何外部用户的输入我们都认为是可能有恶意攻击 ...

  5. java安全编码指南之:线程安全规则

    目录 简介 注意线程安全方法的重写 构造函数中this的溢出 不要在类初始化的时候使用后台线程 简介 如果我们在多线程中引入了共享变量,那么我们就需要考虑一下多线程下线程安全的问题了.那么我们在编写代 ...

  6. java安全编码指南之:声明和初始化

    目录 简介 初始化顺序 循环初始化 不要使用java标准库中的类名作为自己的类名 不要在增强的for语句中修改变量值 简介 在java对象和字段的初始化过程中会遇到哪些安全性问题呢?一起来看看吧. 初 ...

  7. java安全编码指南之:Number操作

    目录 简介 Number的范围 区分位运算和算数运算 注意不要使用0作为除数 兼容C++的无符号整数类型 NAN和INFINITY 不要使用float或者double作为循环的计数器 BigDecim ...

  8. java安全编码指南之:堆污染Heap pollution

    目录 简介 产生堆污染的例子 更通用的例子 可变参数 简介 什么是堆污染呢?堆污染是指当参数化类型变量引用的对象不是该参数化类型的对象时而发生的. 我们知道在JDK5中,引入了泛型的概念,我们可以在创 ...

  9. java安全编码指南之:异常处理

    目录 简介 异常简介 不要忽略checked exceptions 不要在异常中暴露敏感信息 在处理捕获的异常时,需要恢复对象的初始状态 不要手动完成finally block 不要捕获NullPoi ...

随机推荐

  1. 第7篇 Scrum 冲刺博客

    1.站立会议 照骗 进度 成员 昨日完成任务 今日计划任务 遇到的困难 钟智锋 确定客户端和服务器通信的形式 重新设计项目执行流程 庄诗楷 编写UI的基本图形和响应 编写客户端UI 易德康 马,车,炮 ...

  2. JS手写call、bind、apply

    call方法的实现 Function.prototype.MyCall = function(content,...args){ const self = content || window; con ...

  3. Swift Expressible literal

    Swift Expressible Literal 引子 从一个面试题说起.有如下代码: struct Book { let name: String } let book: Book = " ...

  4. 有了MDL锁视图,业务死锁从此一目了然

    摘要:MDL锁视图让一线运维人员清晰地查看数据库各session持有和等待的元数据锁信息,从而找出数据库MDL锁等待的根因,准确地进行下一步决策. 当多用户共同存取数据时,数据库中就会产生多个事务同时 ...

  5. 初识ABP vNext(7):vue身份认证管理&租户管理

    Tips:本篇已加入系列文章阅读目录,可点击查看更多相关文章. 目录 前言 开始 按钮级权限 身份认证管理 R/U权限 权限刷新 租户管理 租户切换 效果 最后 前言 上一篇介绍了vue+ABP国际化 ...

  6. vue的修饰符

    v-on 缩写:@ 事件修饰符 .stop - 调用 event.stopPropagation(). //阻止冒泡 .prevent - 调用 event.preventDefault(). //阻 ...

  7. IDEA的Debug详解

    01_Debug简介和意义 什么是程序DeBug? Debug,是程序开发人员必会的一项调试程序的技能. 企业中程序开发和程序调试的比例为1:1.5,可以说如果你不会调试程序,你就没有办法从事编程工作 ...

  8. 基于JSP+Servlet的学生信息管理系统

    JavaWeb期末项目,一个基于JSP和Servlet的学生信息管理系统实现,前端用了bootstrap和一些自定义的css样式,数据库用了mysql 传送门: GitHub 实现功能 登录(教师, ...

  9. redis的集群搭建(很详细很详细)

    说在前面的话 之前有一节说了redis单机版的搭建和使用jedis管理redis单机版和集群版, 本节主要讲一下redis的集群搭建. 跳转到jedis管理redis的使用 认识redis集群 首先我 ...

  10. 深入了解Redis【二】对象及数据结构综述

    引言 Redis中每个键值对都是由对象组成: 键总是一个字符串对象(string) 值可以是字符串对象(string).列表对象(list).哈希对象(hash).集合对象(set).有序集合对象(z ...