spring mvc中直接注入HttpServletRequst是不是安全的

這篇文章主要為大家展示了“spring mvc中直接注入HttpServletRequst是不是安全的”，內容簡而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領大家一起研究并學習一下“spring mvc中直接注入HttpServletRequst是不是安全的”這篇文章吧。

HttpServletRequest介紹

HttpServletRequest對象代表客戶端的請求，當客戶端通過HTTP協議訪問服務器時，HTTP請求頭中的所有信息都封裝在這個對象中，通過這個對象提供的方法，可以獲得客戶端請求的所有信息。

引言

本文主要介紹的是關于spring mvc直接注入HttpServletRequst安全的相關內容，看似很簡單的一個問題，借此追蹤下spring的源碼處理

在寫springMVC的Control中有很多這種代碼, 如需要獲取request對象去做某些事情

如：

@Controller
@RequestMapping(value = "/user")
public class LoanActionPage extends AbstractAction {
@RequestMapping(value = "/page/active")
public String loanAaccountActivePage(HttpServletRequest request) {
// get request to dosomething
String pathInfo = request.getPathInfo();
return "active";
}
}

貌似每次要寫個control時都得把request當住參數來傳，很是冗余。

其實可以在control里定義一個request對象，注入，然后隨時用

如：

public class AbstractAction {
 @Autowired
protected HttpServletRequest request;
... ...

然后在control中直接用：

@Controller
@RequestMapping(value = "/user") 
public class LoanActionPage extends AbstractAction {

@RequestMapping(value = "/page/active") 
public String loanAaccountActivePage() { 
// get request to dosomething
String pathInfo = request.getPathInfo();
return "active"; 
}
}

那么問題來了，sevlet是多線程的，每次請求的request其實是個新的對象，這樣直接共享引用，是否會造成線程不安全呢?

方便了，問題也來了，servelt其實是多線程，共享一個request是否會有安全問題呢，分析下spring的代碼

1, 注入的request何處來?

發現是注入其實是往WebApplicationContextUtils通過RequestObjectFactory拿值，跟蹤

返回的是RequestContextHolder里的值. 追蹤RequestContextHolder

每次返回的其實是， RequestAttributes的實現類ServletWebRequest(ServletRequestAttributes)里的request. 因為RequestAttributes是屬于threadLocal的，所以注入的request也是線程安全的了

2, spring何時設置的request對象?

HttpServlet實現類 FrameworkServlet-> service()->processRequst()

每次請求都會往里面設置最新的request, 設值

以上是“spring mvc中直接注入HttpServletRequst是不是安全的”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注億速云行業資訊頻道！