spring 默认创建的单例 bean 是全局共享的,若在其中修改可变状态(如普通成员变量),会导致多线程间数据污染;正确做法是避免在 bean 中维护请求级状态,改用 threadlocal、方法参数或作用域(如 @scope("prototype") / @scope("request"))隔离上下文。
在 Spring 应用中,默认作用域(singleton)的 Bean 在整个容器生命周期内仅存在一个实例,被所有请求、线程和组件共享。这意味着:
✅ 安全的操作:调用无状态方法、读取不可变配置、执行纯逻辑处理;
❌ 危险的操作:直接修改 Bean 的普通成员变量(如 private String currentUser;),因为该变量会被后续任意线程/HTTP 请求读取到——造成严重的线程安全问题和上下文污染。
举个典型反例:
@Service
public class OrderService {
private String requestId; // ❌ 危险:共享可变状态
public void processOrder(Long orderId) {
this.requestId = UUID.randomUUID().toString(); // 多线程下互相覆盖!
log.info("Processing order {} with ID: {}", orderId, requestId);
// 后续其他方法可能误用已被覆盖的 requestId
}
}上述代码中,若两个并发请求同时调用 processOrder(),requestId 值将相互覆盖,导致日志错乱、业务逻辑异常,甚至引发难以复现的偶发 Bug。
✅ 正确实践方案:
-
优先使用无状态设计(推荐)
将上下文信息作为方法参数传递,Bean 保持纯粹:@Service public class OrderService { public void processOrder(Long orderId, String requestId) { // ✅ 上下文由调用方传入 log.info("Processing order {} with ID: {}", orderId, requestId); } } -
使用 @Scope("request") 隔离 Web 请求级状态
适用于需要在单次 HTTP 请求中跨多个 Bean 共享数据的场景(如用户身份、TraceID):@Component @Scope("request") public class RequestContext { private String traceId; private User currentUser; // getter/setter... } -
谨慎使用 ThreadLocal(需手动清理)
适合框架层或 AOP 拦截中临时绑定线程上下文(注意:Web 容器常复用线程,务必在请求结束时 remove()):public class RequestContextHolder { private static final ThreadLocalTRACE_ID = new ThreadLocal<>(); public static void setTraceId(String id) { TRACE_ID.set(id); } public static String getTraceId() { return TRACE_ID.get(); } public static void clear() { TRACE_ID.remove(); // ⚠️ 关键:防止内存泄漏! } } -
必要时启用原型作用域(@Scope("prototype"))
每次注入都新建实例,但会失去单例带来的资源复用优势,且需确保 Bean 本身无外部依赖冲突:@Component @Scope("prototype") public class SessionContext { /* 状态可变 */ }
总结:
Spring 的设计哲学是“Bean 负责行为,而非状态”。单例 Bean 应视为无状态的服务协调者,而非数据容器。任何请求/线程相关的上下文,必须通过显式传递、作用域隔离或线程局部存储来管理。违反这一原则不仅破坏依赖注入的初衷,更会引入隐蔽的并发缺陷——这正是生产环境中多数“偶发超时”“数据错乱”问题的根源。
