此文被笔者收录在系列文章 架构师必备(系列) 中
虽然前面介绍了一些线程安全与同步的基础知识,但我们不希望为了获得线程安全而去分析每次内存访问,而希望组合成更大的组件或程序安全的组件对外提供安全性。
一、设计线程安全的类
设计线程安全类的过程应该包括3个基本要素:1、确定对象状态由哪些变量构成;2、确定限制状态变量的不变约束;3、制定一个管理并发访问对象状态的策略。
这里的关键点就是对象内部数据的同步,同步策略定义了对象如何协调对其状态的访问,并且不会违反它的不变约束和后验条件以及先验条件。它规定了如何把不可变性、线程限制和锁结合起来,从而维护线程的安全性,还指明了哪些锁保护哪些变量。
收集同步需求
维护类的线程安全性意味着确保在并发访问下保护它的不变约束,这需要对其状态进行判断。很多类通过不变约束来判定某一种状态是否合法,比如计数,那么17下面必然是18。但是如果是温度,那么就不必遵循上面的17下面是18这样的规则。这就叫后验条件。
不变约束和方法的后验条件加在状态及状态转换上的约束,引入了额外的同步与封装的需要。如果某些状态是非法的,则必须封装该状态下的状态变量,否则客户代码会将对象置于非法状态。如果一个操作的过程中出现非法置换,则这个操作必须是原子的。另一方面,如果类并未强制任何约束,那么可以开放一些类的封装和序列化的条件以获得更佳的灵活性
不理解对象的不变约束和后验条件,就不能保证线程的安全性。要约束状态变量的有效值或状态置换,就需要原子性与封装性。
有些时候也要验证先验条件,比如不能从空队列中移除一个元素,所以有时用wait和notify方法,但这些方法并不容易使用,不如用blockingQueue、semaphore及其它同步工具更保险。
容器类通常表现出一种“所有权分离”的形式,即指容器拥有容器框架的状态,而客户代码拥有存储在容器中的对象的状态。比如servlet的设计,存在request中的对象由客户代码持有,而存在ServletContext中的对象必须由容器共享。
实例限制
将数据封装在对象内部,把对数据的访问限制在对象的方法上,更易确保线程在访问数据时总能获得正确的锁。被限制对象一定不能逸出它的期望可用范围之外。
下面的例子中,非线程安全的HashSet管理着PersionSet的状态,不过由于mySet是私有的,不会逸出,唯一可以访问mySet的代码路径是addPerson与containsPerson,执行它们需要获得PersonSet的锁,PersonSet的内部锁保护了它所有的状态,因而确保了PersonSet是线程安全的。
这种方法称为实例限制,比如类库中的ArrayList和HashMap都是非线程安全的,但通过包装器工厂方法(Collections.synchronizedList及其同族的方法),使这些非线程安全的类可以安全地用于多线程的环境中。这些工厂方法利用了Decorator(装饰者)模式。通过这种方式在安全检查时就不必检查完整的程序。
Java监视器模式
线程限制原则的直接推论之一是 java监视器模式。遵循java监视器模式的对象封装了所有的可变状态,并由对象自己的内部锁保护。比如Vector和Hashtable都使用了java监视器模式,这种模式是一种习惯约定,优点在于简单。它的原理就是自定义锁,人为的控制方法访问和写入时要用到同一把锁。
使用私有锁对象,而不是对象的内部锁有很多好处,好处之一就是客户代码无法得到它。然而可公共访问的锁允许客户代码涉足它的同步策略--正确或不正确的,客户不正确的得到另一个对象的锁,会引起活跃度方面的问题。
监视器例子的两个实例还可以有这两种实现复制和委托:1、同步方式,每次都复制一下线程,相对于数据量小的程序还可以,如果数据量大就会影响性能;2、委托线程安全,如果一个类由多个彼此独立的线程安全的状态变量组成,并且类的操作不包含任何无效状态转换时,可以将线程安全委托给这些状态变量。否则必须加锁来保证其完整性。
发布底层的状态变量
如果一个状态变量是线程安全的,没有任何不变约束限制它的值,并且没有任何状态转换限制它的操作,那么它可以被安全发布。
二、向已有的线程安全类添加功能
比如我们向一个线程安全的List中添加一个”缺少即加入“操作,这需要检查再运行,这时就要加锁了,必须保证操作的原子性。以后写程序也要注意检查再运行的线程警告,前提是检查的对象是个共享的对象。
修改原始类
添加一个新原子操作最安全的方式是:修改原始的类,以支持期望的操作,但有时会受到限制,比如没有源码等等。
扩展原始类
另一个方法是扩展这个类,但各种操作可能会分散到多个源文件中,比上一种方法更脆弱。如果底层的类选择了不同的锁保护它的状态变量,子类从而会破坏它的同步策略,因为它不能用正确的锁控制对基类状态的并发访问。但Vector不会遇到这样的问题。
客户端加锁
为了添加另一个原子操作而去扩展一个类很容易出问题,是因为它将加锁的代码分布到对象继承体系中的多个类中,但客户端加锁更加脆弱。客户端加锁与扩展类的方式都会破坏类的封装性不建议使用。
下面这个例子之所以错误是因为同步行为发生在错误的锁上,无论List使用哪个锁保护它的状态,这个锁都和ListHelper无关。这就意味着putIfAbsent对于List的其他操作并不是原子化的。当putIfAbsent操作执行时,不能保证另一个线程不会修改list。
为了让这个方法正确工作,必须保证方法所使用的锁与list用于客户端加锁与外部加锁时所用的是同一个锁。或把list修改为private类型或是用下面的方式。
组合(composition)
向已有的类中添加一个原子操作,最好的方法是组合,采用委托的方式。引入一个新的锁层,这个层不关心底层是否是线程安全的。但这种做法会带来性能上的损失。下面这个例子注意下list的定义。ImprovedList持有List的唯一外部引用,这样就可以保证线程安全。