Spring Rest Web請求範圍

Question

我正在編寫Spring REST類型接口到數據庫的過程中，該數據庫將檢索各種資源的用戶特定結果。

爲了容納用戶，我有一個名爲CurrentUser的彈簧@Component註釋bean作爲臨時度量。

@Component 
public class CurrentUser { 

    @Autowired 
    private UserDAO userDAO;  

    private String userId; 
    private String email; 
    private String notes; 

    public String getUserId() { 
     return userId; 
    } 

    public void setUserId(String userId) throws ApiException { 
     User user = userDAO.getUser(userId) // Database call to 
     if (!user.isValid()) { 
      throw ApiException(...)  // The exception would crash back to the user as a error in the response 
     }  

     // Valud user so set these aspects. 
     this.userId = user.userId;  
     this.email = user.email; 
    } 
} 

在使用以下攔截器對API中的任何方法進行每次調用時，都會在Spring Interceptor中初始化此對象。

public class AuthenticationInterceptor extends HandlerInterceptorAdapter { 
    @Autowired 
    private CurrentUser user; 

    @Autowired 
    private RequestParameters requestParameters; 

    @Override 
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws ApiException { 
     user.setUserId(StringUtils.defaultString(request.getParameter("userId"), "defaultUser")); 
     return true; 
    } 
} 

這只是一個識別用戶的位置持有者，直到可以添加正確的身份驗證。

我是比較新的春天，而這個職位 的原因是爲了增加我的春天的線程安全方面的瞭解，情況是這樣

我最近發現，春天不會自動線程安全，我可能需要更多地考慮範圍。

我想了解的是以下幾點：

1. 對於上面的設置，有沒有危險，同時提出請求的1000，可能會干擾和相互覆蓋？ 例如對於一個用戶的請求可能會被不同的用戶從單獨的http請求覆蓋，導致請求者接收到錯誤的數據。

2. 什麼是解決這個問題的最佳方法。 （即使它將被替換，我也有類似的方式實例化其他對象） 我正在看的選項（如果這是一個問題），設置原型範圍或直接附加到請求/會話而不是允許他們擁有自動裝配的對象。

任何人都可以給我的任何信息都會非常感謝，因爲我一開始就想讓它變得正確（呃），而不是稍後處理不好的假設。

Answer 1

答案1：是的，你不需要1000請求惹麻煩。 2個請求並行就足夠了。

答2： 的主要問題是這裏的劃定範圍之一：

春天的默認範圍管理豆是單身。這意味着每個應用程序只有一個CurrentUser實例存在。

這顯然不是你想要的。 （由於這裏存在嚴重的安全問題，每個應用程序只有一個CurrentUser實例）。

簡單的答案：

我可能會使用Spring Security ;-)

更簡單的答案：

如果這不是一個選項：

• 使用過濾代替HandlerInterceptor（更直接控制清理）

• 創建一個線程本地來存儲用戶（並使用終端在過濾器中進行清理）並將其設置在過濾器中

• 創建請求作用域服務（使用@ScopedProxy，以便能夠將其連接到單身），訪問ThreadLocal的作爲UserService（您將需要一個接口，使其輕鬆地工作）

• 自動裝配這個UserService在你需要它

由於通過規範在Servlet環境中的每個請求綁定到一個線程，並且線程本地人本質上是線程安全的，你完全是線程安全的，並且它會很好地擴展。範圍代理的開銷很小。 （這只是一種選擇，其他選項可以明確地使用請求範圍，或者以稍微優雅的方式使用方面，但它是一種相當簡單的方法，可以完成工作。會認真的建議看看Spring Security）。

Answer 2

您可以使用spring mvc的參數解析器功能，而無需將其作爲bean。 這樣做，實現接口HandlerMethodArgumentResolver並將其註冊到容器中。然後，你的處理方法可以有型當前用戶

import org.springframework.core.MethodParameter; 
import org.springframework.web.bind.support.WebDataBinderFactory; 
import org.springframework.web.context.request.NativeWebRequest; 
import org.springframework.web.method.support.HandlerMethodArgumentResolver; 
import org.springframework.web.method.support.ModelAndViewContainer; 

public class CurrentUserArgumentResolver implements HandlerMethodArgumentResolver{ 

@Override 
public boolean supportsParameter(MethodParameter parameter) { 
    if (parameter.getParameterType().equals(CurrentUser.class)) { 
     return true; 
    } 
    return false; 
} 

@Override 
public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, 
     WebDataBinderFactory binderFactory) throws Exception { 
    if (supportsParameter(parameter)) { 
     String userId = (String) webRequest.getAttribute("userId", NativeWebRequest.SCOPE_REQUEST); 
     return new CurrentUser(userId); 
    } 
    return null; 
} 

public class CurrentUser{ 

    public CurrentUser(String userId) { 
     // TODO Auto-generated constructor stub 
    } 

} 
} 

的論點之後，你可以擁有S型的處理方法

@RequestMapping 
public String handler(CurrentUser user){ 
.... 
}