struts1安全问题,和struts2的区别

struts 1.x的一个安全性问题是值得注意的。因为过去的模式是前台页面数据通过actionForm传入，action中的excute方法接收，这个问题是不存在的。 但是，如果在action 中直接定义实例变量，问题就很大了。原因其实也很简单：         为了确保线程安全(thread-safe)，在一个应用的生命周期中，Struts框架只会为每个Action类创建一个Action实例（与servlet是一样的）。所有的客户请求共享一个Action实例，并且所有请求线程可以同时执行它的execute()方法。 所以，每个action只有一个实例， 在action打印this也可以看到， 确实是一样的， 所以，不要在Action里面使用全局变量记忆数据， 没有意义而且不安全使用actionForm则不会有问题，原因也很简单：       actionForm 是通过参数形式传入action的，不存在共享变量的问题，其实每个request产生的actionForm实例也是不同的。 因此在使用struts 1.x的时候要注意线程安全性问题

************************************************************************************************
总的来说，Struts1 的 Action 是单例模式，因此开发者必须保证它是线程安全的或是同步的，因为Struts 1中每个Action仅有一个实例来处理所有的请求。

    但是在用Struts 1开发时并没有考虑到线程安全问题，这是因为我们在Action中使用的基本都是局部变量，而“局部变量是线程安全的。因为每执行一个方法，都会在独立的空间创建局部变量，它不是共享的资源。局部变量包括方法的参数变量”（忘了引自哪了）。在Struts 1中，所有的变量都是定义在Action中我们要执行的方法里的（Action中的execute方法或DispatchAction中指定要执行的方法），我们用于封装客户端请求参数的ActionForm，也是作为一个参数传入，也属于局部变量，因此，不存在线程安全问题。

    Struts 2 的 Action 对象为每一个请求产生一个实例，因此，虽然在Action中定义了很多全局变量，也不存在线程安全问题。


    Struts 2框架在处理每一个用户请求的时候，都建立一个单独的线程进行处理，值栈ValueStack也是伴随着局部线程而存在的。在该线程存在过程中，可以随意访问值栈，这就保证了值栈的安全性。

    在Struts 2中，ActionContext是一个局部线程，这就意味着每个线程中的ActionContext内容都是唯一的。所以开发者不用担心Action的线程安全。

《strut2权威指南》中有这么一段：
线程模式方面的对比：Struts1 Action是单例模式并且必须是线程安全的，因为仅有Action的一个实例来处理所有的请求。单例策略限制了Struts1 Action能做的事，并且要在开发时特别小心。Action资源必须是线程安全的或同步的；Struts 2 Action对象为每一个请求产生一个实例，因此没有线程安全问题 。

都产生一个实例，所以说全局的变量应该是共享的。
************************************************************************************************
Struts 的线程安全

Servlet是在多线程环境下的。即可能有多个请求发给一个servelt实例，每个请求是一个线程。
struts下的action也类似，同样在多线程环境下。可以参考struts user guide: http://struts.apache.org/struts-action/userGuide/building_controller.html 中的Action Class Design Guidelines一节: Write code for a multi-threaded environment - Our controller servlet creates only one instance of your Action class, and uses this one instance to service all requests. Thus, you need to write thread-safe Action classes. Follow the same guidelines you would use to write thread-safe Servlets.
译:为多线程环境编写代码。我们的controller servlet指挥创建你的Action 类的一个实例，用此实例来服务所有的请求。因此，你必须编写线程安全的Action类。遵循与写线程安全的servlet同样的方针。

1.什么是线程安全的代码
在多线程环境下能正确执行的代码就是线程安全的。
安全的意思是能正确执行，否则后果是程序执行错误，可能出现各种异常情况。

2.如何编写线程安全的代码
很多书籍里都详细讲解了如何这方面的问题，他们主要讲解的是如何同步线程对共享资源的使用的问题。主要是对synchronized关键字的各种用法，以及锁的概念。
Java1.5中也提供了如读写锁这类的工具类。这些都需要较高的技巧，而且相对难于调试。

但是，线程同步是不得以的方法,是比较复杂的,而且会带来性能的损失。等效的代码中，不需要同步在编写容易度和性能上会更好些。
我这里强调的是什么代码是始终为线程安全的、是不需要同步的。如下:
1)常量始终是线程安全的，因为只存在读操作。
2)对构造器的访问(new 操作)是线程安全的，因为每次都新建一个实例，不会访问共享的资源。
3)最重要的是:局部变量是线程安全的。因为每执行一个方法，都会在独立的空间创建局部变量，它不是共享的资源。局部变量包括方法的参数变量。
struts user guide里有：
Only Use Local Variables - The most important principle that aids in thread-safe coding is to use only local variables, not instance variables , in your Action class.
译:只使用用局部变量。--编写线程安全的代码最重要的原则就是，在Action类中只使用局部变量，不使用实例变量。


总结：
在Java的Web服务器环境下开发，要注意线程安全的问题。最简单的实现方式就是在Servlet和Struts Action里不要使用类变量、实例变量，但可以使用类常量和实例常量。
如果有这些变量，可以将它们转换为方法的参数传入，以消除它们。
注意一个容易混淆的地方：被Servlet或Action调用的类中(如值对象、领域模型类)中是否可以安全的使用实例变量？如果你在每次方法调用时
新建一个对象，再调用它们的方法，则不存在同步问题---因为它们不是多个线程共享的资源，只有共享的资源才需要同步---而Servlet和Action的实例对于多个线程是共享的。
换句话说，Servlet和Action的实例会被多个线程同时调用，而过了这一层,如果在你自己的代码中没有另外启动线程，且每次调用后续业务对象时都是先新建一个实例再调用，则都是线程安全的。