当前位置：首页 > news >正文

Spring 中 HttpServletRequest 作为成员变量是安全的吗？

news 2025/11/3 16:17:44

在使用spring框架开发的时候，经常会在controller类中看到 HttpServletRequest 对象参数，一般我们都是直接使用，但是它是何时、怎么注入到 spring 容器的呢？另外以成员变量注入的 request 是线程安全的吗 ?

@Controller
public class SomeController {@Resourceprivate HttpServletRequest request1;@RequestMapping("/test")public String test2(HttpServletRequest request2) {System.out.println(request1.getQueryString());System.out.println(request2.getQueryString());return "";}}

1、request 成员变量是否线程安全？

先说结论：注入request这个成员变量是线程安全的，来看下 spring 是如何做到的，先 debug 看下两种做法真实注入类的区别

可以看出成员变量注入的是代理对象AutowireUtils.ObjectFactoryDelegatingInvocationHandler ，而作为方法参数注入的就是我们一般使用的Request对象，先看下 AutowireUtils 的内部类ObjectFactoryDelegatingInvocationHandler

/*** Reflective InvocationHandler for lazy access to the current target object.*/
@SuppressWarnings("serial")
private static class ObjectFactoryDelegatingInvocationHandler implements InvocationHandler, Serializable {private final ObjectFactory<?> objectFactory;public ObjectFactoryDelegatingInvocationHandler(ObjectFactory<?> objectFactory) {this.objectFactory = objectFactory;}@Overridepublic Object invoke(Object proxy, Method method, Object[] args) throws Throwable {String methodName = method.getName();if (methodName.equals("equals")) {// Only consider equal when proxies are identical.return (proxy == args[0]);} else if (methodName.equals("hashCode")) {// Use hashCode of proxy.return System.identityHashCode(proxy);} else if (methodName.equals("toString")) {return this.objectFactory.toString();}try {return method.invoke(this.objectFactory.getObject(), args);}catch (InvocationTargetException ex) {throw ex.getTargetException();}}
}

当代理对象的方法被调用时，除去少数几个方法，大部分的情况都是通过this.objectFactory.getObject() 获取被代理对象，再调用被代理对象的相应方法

进一步 debug，终于看到了熟悉的Request类，可以看到它是从 requestAttributesHolder 中取到的，那么requestAttributesHolder又是什么？

RequestContextHolder的ThreadLocal成员变量就是实现的关键所在，它存放了每个线程对应的Request对象，因此在@Controller中调用作为成员变量注入的代理类的方法时，最终可以取到当前线程相对应的Request对象，并调用Request对应的方法，这样@Controller中的成员变量不需要重复注入（它一直都是最初bean初始化时注入的代理类），也避免了线程不安全的问题。

2、spring是何时将Request放入这个ThreadLocal之中的？

同样先说结论：在 Springmvc 的 dispatcherServlet 的父类 FrameworkServlet 里完成的，分析代码实现

所有的请求调用到 Servlet 的doGet、dePost 时，最终都会通过 processRequest(request, response) 进行处理

processRequest 方法在调用了 initContextHolders(request, localeContext, requestAttributes) 时会将Request放入ThreadLocal，方便后续线程安全的获取

3、总结

        1、在bean中注入成员变量 HttpServletRequest 时，实际注入的是 spring 框架生成的代理对象 ObjectFactoryDelegatingInvocationHandler 的实例。在我们实际调用这个成员变量的方法时，会调用 objectFactory 的 getObject() 对象对应的方法（objectFactory 是RequestObjectFactory 这个类的对象）

        2、RequestObjectFactory 的 getObject 方法是从RequestContextHolder的threadlocal 中去取值的。

        3、请求刚进入 springmvc 的 dispatcherServlet 时，会把 request 相关对象设置到RequestContextHolder 的 threadlocal 中去，方便后续线程安全的获取

Spring 中 HttpServletRequest 作为成员变量是安全的吗？

1、request 成员变量是否线程安全？

2、spring是何时将Request放入这个ThreadLocal之中的？

3、总结

相关文章：