struts2安全问题

问题：
Struts 2 Action对象为每一个请求产生一个实例，因此没有线程安全问题。
Spring的Ioc容器管理的bean默认是单实例的,上一次请求处理的状态信息被保持下来，并影响了下一次的请求,实际上就是Action中的类变量被不同的请求读取，出现错误结果

解决：就是不用单例, spring中bean的作用域设为prototype,每个请求对应一个实例.

1、Struts1
Struts1是单例模式，也就是所，Web容器（例如：Tomcat）启动的时候，就会实例化一个Action对象，那么所有请求都是用的这个对象。所以当遇到2个请求并发的时候，那么其实他们调用的是同一个类，这个时候当你在Action内部定义属性的时候，就会产生线程同步的问题。
例如：
你在Action定义了一个 int i = 0；
然后在这个Action里面的某一个方法里面对这个i进行操作。当并发的时候就会遇到问题。
所以：我们在用struts1的时候不能在action里面定义属性。要用到只的话只能在方法里面定义。
2、struts2
Struts 2 Action对象为每一个请求产生一个实例，因此没有线程安全问题。所以我们可以在Struts2的Action里面去定义属性。但是Struts2由于 Action和普通的Java类没有任何区别（也就是不用像Struts1里面那样去实现一个Struts的接口，有兴趣的朋友可以自己去了解），所以我们可以用Spring去管理Struts2的Action，这个时候我们就要注意了，因为当我们在spring里面去定义bean的时候，spring默认用的是单例模式。所以在这个时候，你就要修改Spring的配置文件---即修改scope为prototype。
为什么struts1中并没有考虑到线程问题，因为所有的代码都是写在execute的方法中，所有变量都是定义在里面，所以没有线程安全问题。
而现在的struts2就不一样了。struts2的action中就像一个POJO一样，定义了很多的类变量。这就有线程安全问题了。。此时，就使用scope=prototype来指定是个原型模式，而不是单例，这样就解决了线程安全问题。每个线程都是一个新的实例。。

但是，线程同步是不得以的方法,是比较复杂的,而且会带来性能的损失。等效的代码中，不需要同步在编写容易度和性能上会更好些。
我这里强调的是什么代码是始终为线程安全的、是不需要同步的。如下:
1)常量始终是线程安全的，因为只存在读操作。
2)对构造器的访问(new 操作)是线程安全的，因为每次都新建一个实例，不会访问共享的资源。
3)最重要的是:局部变量是线程安全的。因为每执行一个方法，都会在独立的空间创建局部变量，它不是共享的资源。局部变量包括方法的参数变量。
struts user guide里有：
Only Use Local Variables - The most important principle that aids in thread-safe coding is to use only local variables, not instance variables , in your Action class.
译:只使用用局部变量。--编写线程安全的代码最重要的原则就是，在Action类中只使用局部变量，不使用实例变量。