我们的APP生产上出了一次比较严重的事故,许多用户投诉登录后能看到别人的信息,收到投诉后我们就开始查找问题,一般这样的问题都是线程安全引起的,所以查找原因的思路也是按线程安全的思路去查。
业务场景是这样的,用户登录后,点击一个页面查看信息,这个信息显示了别人的信息。
登录交易大致流程如下:
//一系列验证
session.setAttribute("id",id); //身份证号放入session
//其他操作
查看信息交易的流程如下:
session = request.getSession();
if(session != null && session.getAttribute("LoginStatus") == True) {
String id = session.getAttribute("id");
Information info = queryInfo(id);
return info;
} else {
return "not login";
}
通过加日志等方法,我们确认了是查看信息的时候,从session里拿出来的身份证号是其他人的,但是到底是在什么时候变化的,没找到,因为我们一直顺着线程安全的思路,找全局变量这样的地方。
另外还发现有个地方可疑,就是有一个异步的线程,会验证用户身份证,并且重新在session里放一次。
public void updateId(HttpServletRequest request) {
HttpSession session = request.getSession();
String id = validate();
session.setAttribute("id",id);
}
这个函数是在登录主交易调起的线程池处理的,看上去其实没有多大毛病,而且也是老的代码,很久了。而且我发现了一个规律,被别人看到信息的用户,登录交易都触发了使用新设备登录,因为我们加了一个逻辑,对换设备登录做了验证,这样的话需要验证短信,登录分两步了,第一步比较快的返回了,但是异步的更新信息流程还在。
于是我怀疑是不是因为Servlet的交易已经返回了,异步的线程虽然拿到了HttpServletRequest,但是这个request已经无效了或者被复用了。
我写了下面的代码进行验证,不停的用curl调用。Http请求很快就返回了,但是我会把HttpServletRequest传给一个线程池,等5s后才会去处理这个Request,结果果然是有问题的
结果果然有问题,大部分情况new_session都是null,但也出现了不是null的情况,这时候发现session不是自己的。
HttpServletRequest是有生命周期的,当一个http请求过来后,应用服务器解析报文,把各种参数放到一个HttpServletRequest对象中,然后传递给Servlet的service函数,service函数根据里面的方法调用对应的doGet/doPost等方法,而一旦service函数调用结束,HttpServletRequest的生命周期就结束了,再这之后你继续使用这个对象,产生的结果是不确定的。
网上遇到这类问题的人不多,我专门找了servlet specification,其中有一章讲HttpServletRequest生命周期的。
从中可以得到如下信息:
(1)三种情况下request有效:service函数内,doFilter函数内,startAsync起的异步线程
(2)在三种情况之外,使用request会产生不确定的结果(indeterminate results)
(3)大部分容器在实现servlet的时候,为了提高性能,会复用request对象,但这不是规范里必须的
其中提到的startAsync是servlet 3.0开始有的,它是为了让一个工作线程可以在做IO或类似阻塞线程的操作的时候能干其它的事情,但是它要求异步线程都结束了,才会将请求返回给客户端,本质上还是同步的,只是并行了。所以要想异步的处理Request,必须使用servlet自己的异步机制,但是这样并不能满足我们的需求,因为我们就是为了不让主线程等待。
如果使用了这个,那么客户端需要等待5s才能拿到结果。
我又看了tomcat的源码,发现它确实对Request做了复用:
虽然问题的原因很简单,但是产生的后果十分严重。需要异步处理数据的时候一定要特别小心,此处如果传Session就没问题了,但是还是要尽量避免。