Семантика final полей в java

transcript

Владимир Ситников, Валентин Коваленкоsitnikov@netcracker.com, @VladimirSitnikv

NetCracker

Сентябрь 2014

Введение

Примеры

Зачем final в JMM?

Безопасность String

String s = ...

if (checkAccess(s)) {

return readFile(s);

Правильно ли проверяются права на доступ к файлу?

Без опасность String в java 1.4

String s = ...

return readFile(s);

Ответ зависит от версии, и в java 1.4 возможны проблемы

String s = GLOBAL;

return readFile(s);

HackThread

GLOBAL =

"/tmp/etc/passwd"

.substring (4);

Например: HackThread выполняет .substring(4) и коварнопередаёт его в поток, читающий файлы

String s = GLOBAL;

return readFile(s);

HackThread

GLOBAL =

"/tmp/etc/passwd"

.substring (4);

В java 1.4 substring-строка ссылается на тот же массивсимволов, и всё опреледяется полями String#offset и String#size

String s = GLOBAL;

return readFile(s);

HackThread

GLOBAL =

"/tmp/etc/passwd"

.substring (4);

Синхронизации между потоками нет, поэтому читатель можетувидеть недоинициализированный объект-строку

String s = GLOBAL;

return readFile(s);

HackThread

GLOBAL =

"/tmp/etc/passwd"

.substring (4);

checkAccess может увидеть "/tmp/etc/passwd", а readFile уже"/etc/passwd"

Даже синхронизация на s и volatile не спасут!

String s = GLOBAL;

return readFile(s);

HackThread

GLOBAL =

"/tmp/etc/passwd"

.substring (4);

checkAccess может увидеть "/tmp/etc/passwd", а readFile уже"/etc/passwd"Даже синхронизация на s и volatile не спасут!

Безопасность String в java 1.5+

String s = GLOBAL;

return readFile(s);

HackThread

GLOBAL =

"/tmp/etc/passwd"

.substring (4);

В java 1.5+ final защищает от недосозданных объектов иHackTread

Зачем нам JMM?

Код-загадка

int x = 1;

public int neverTryThisAtHome () {

int i = this.x; // it is 1, isn’t it?

this.setX (2); // just updates x to 2

return this.x - i; // 2 - 1 == ...?

Какие значения могут вернуться? 1? 0? -1?

int x = 1;

return this.x - i; // 2 - 1 == ...?

Да, тут вернётся 1

final int x = 1;

return this.x - i; // 2 - 1 == ...?

А теперь добавим ножек final

final int x = 1;

return this.x - i; // 2 - 1 == ...?

Спецификация разрешает все варианты: 1, 0, и даже -1! (см.пример 17.5.3-1)

Немного теории

Программный порядок (program order)

I Отражает то, в каком порядке написан исходный код

I Компилятору запрещено переупорядочивать, игнорировать именять операции, если это нарушит program order

I Но это не значит, что всё выполняется именно так, как висходном коде

I Например: для операций над локальными переменнымиprogram order вообще не определён

I Отражает то, в каком порядке написан исходный кодI Компилятору запрещено переупорядочивать, игнорировать именять операции, если это нарушит program order

Частичный порядок (partial order)

I В главе 17 JLS 8 раз упоминается слово "partial order"

I Частичным порядкомhb−−→ является бинарное отношение,

которое:

I Рефлексивно: для любого элемента x выполняется xhb−−→ x

I Антисимметрично: если xhb−−→ y и y

hb−−→ x , то x и y это одно и

то же

I Транзитивно: если xhb−−→ y и y

hb−−→ z , то x

hb−−→ z

которое:

то же

hb−−→ z

которое:

то же

hb−−→ z

которое:

то же

hb−−→ z

которое:

то же

hb−−→ z

Happens-before

I Основной принцип JMM: рассмотрим все возможныевыполнения и откинем "неправильные"

I Happens-before это частичный порядок, который долженсоблюдаться

I Запрещено видеть "будущие" записи (rhb−−→ w)

I И те, которые были перетёрлись в hb порядке:

w1hb−−→ w2

hb−−→ r

I И те, которые запрещены просто так: 17.4.8 executions andcausality requirements

Happens-before

w1hb−−→ w2

hb−−→ r

Happens-before

w1hb−−→ w2

hb−−→ r

Happens-before

w1hb−−→ w2

hb−−→ r

Happens-before

w1hb−−→ w2

hb−−→ r

Семантика final полей одним слайдом

whb−−→ f

hb−−→ a

mc−−→ r1

dr−→ r2⇒ w

−−→ r2

I w и r2 – интересующие нас нас запись и чтение

I f – заморозка final поля, которое читается в r1

whb−−→ f

hb−−→ a

mc−−→ r1

dr−→ r2⇒ w

−−→ r2

I w и r2 – интересующие нас нас запись и чтениеI f – заморозка final поля, которое читается в r1

whb−−→ f

hb−−→ a

mc−−→ r1

dr−→ r2⇒ w

−−→ r2

I Если единственный путь от записи к чтению идёт через всеэти стрелочки, то мы не можем увидеть более ранние записи

I Если путей больше одного – как повезёт

whb−−→ f

hb−−→ a

mc−−→ r1

dr−→ r2⇒ w

−−→ r2

I Если единственный путь от записи к чтению идёт через всеэти стрелочки, то мы не можем увидеть более ранние записи

I Если путей больше одного – как повезёт

Freeze action w hb−→ f hb−→ a mc−→ r1 dr−→ r2

Поле

Freezeслучается в конце конструктора и морозит final поля

Freeze action

Поле

Freeze actionПоле

Dereference chain: что это? w hb−→ f hb−→ a mc−→ r1 dr−→ r2

T local = GLOBAL; r1

int localX = local.x; r2

I r2 читает поле объекта

I Поток не создавал объектI Значит, где-то мы должны были читать адрес этого объекта

I Это называется r1dr−→ r2

I r2 читает поле объектаI Поток не создавал объект

I Значит, где-то мы должны были читать адрес этого объекта

I r2 читает поле объектаI Поток не создавал объектI Значит, где-то мы должны были читать адрес этого объекта

Dereference chain два потока w hb−→ f hb−→ a mc−→ r1 dr−→ r2

Thread 1

T localA = new T();

GLOBAL = localA;

Thread 2

T localB = GLOBAL; r1

if (localB != null) {

int localX = localB.x; r2

r1dr−→ r2 (читаем поле несозданного нами объекта)

Thread 1

T localA = new T(); a

GLOBAL = localA;

Thread 2

Есть ли adr−→ r2?

Thread 1

T localA = new T(); a

GLOBAL = localA;

Thread 2

Между потоками dr не возникает!

Dereference chain: контрольный выстрелw hb−→ f hb−→ a mc−→ r1 dr−→ r2

T local = GLOBAL; ra

local = GLOBAL; rb

Есть ли здесь dr ?

Dereference chain: контрольный выстрелw hb−→ f hb−→ a mc−→ r1 dr−→ r2

T local = GLOBAL; ra

local = GLOBAL; rb

Один из radr−→ r2 или rb

dr−→ r2 точно должен быть, но точнее

Memory chain: что это? w hb−→ f hb−→ a mc−→ r1 dr−→ r2

Thread 1

T o = new T();

GL = o; w1

Thread 2

T o = GL; r1

GL2 = o;

Thread 3

T o = GL2;

int r = o.x;

Если чтение видит запись, то w1mc−−→ r1

Thread 1

T o = new T();

GL = o; w1

Thread 2

T o = GL; r1

GL2 = o; w2

Thread 3

T o = GL2;

int r = o.x;

Если пишем адрес созданного врагом объекта, то r1mc−−→ w2

Thread 1

T o = new T();

GL = o; w1

Thread 2

T o = GL; r1

GL2 = o; w2

Thread 3

T o = GL2; r3

int r = o.x;

r3 видит w2 ⇒ w2mc−−→ r3

Thread 1

T o = new T();

GL = o; w1

Thread 2

T o = GL; r1

GL2 = o; w2

Thread 3

T o = GL2; r3

int r = o.x; r4

r3dr−→ r4 (читаем поле объекта)

⇒ r3mc−−→ r4

Thread 1

T o = new T();

GL = o; w1

Thread 2

T o = GL; r1

GL2 = o; w2

Thread 3

T o = GL2; r3

int r = o.x; r4

r3dr−→ r4 (читаем поле объекта) ⇒ r3

mc−−→ r4

Thread 1

T o = new T();

GL = o; w1

Thread 2

T o = GL; r1

GL2 = o; w2

Thread 3

T o = GL2; r3

int r = o.x; r4

mc транзитивно (т.к. частичный порядок) ⇒ w1mc−−→ r4

Введение

Примеры

Disclaimer

I Все примеры опасно синхронизированы (иначе зачем мысобрались?)

I Случаи чтения null не рассматриваем (даже если онивозможны)

I При составлении слайдов пострадал не один мозг

Disclaimer

Эталонный final (1) w hb−→ f hb−→ a mc−→ r1 dr−→ r2

Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = l;

Thread 2

T o = GLOBAL;

if (o != null) {

int result = o.fx; r2

Возможно ли в result получить 0?

Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = l; a

Thread 2

T o = GLOBAL;

if (o != null) {

int result = o.fx;

Действия в одном потоке образуют happens-before:

whb−−→ f , f

hb−−→ a

Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = l; a

Thread 2

T o = GLOBAL; r0

if (o != null) {

int result = o.fx;

r0 видит запись a :

amc−−→ r0

Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = l; a

Thread 2

T o = GLOBAL; r0

if (o != null) {

Поток 2 не создавал объект, r1 читает его поле, а r этоединственное чтение адреса объекта, поэтому dereference chain:

r0dr−→ r1

Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = l; a

Thread 2

T o = GLOBAL; r0

if (o != null) {

r0dr−→ r1⇒ r0

mc−−→ r1

Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = l; a

Thread 2

T o = GLOBAL; r0

if (o != null) {

amc−−→ r1 ( mc транзитивно)

Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = l; a

Thread 2

T o = GLOBAL;

if (o != null) {

int result = o.fx; r1 r2

Возьмём r2 = r1, тогда r1dr−→ r2 ( dr рефлексивно)

Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = l; a

Thread 2

T o = GLOBAL;

if (o != null) {

Нашли всё необходимое для HB∗:

whb−−→ f

hb−−→ a

mc−−→ r1

dr−→ r2⇒ w

−−→ r2

Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = l; a

Thread 2

T o = GLOBAL;

if (o != null) {

(whb∗

−−→ r2)⇒ result ∈ {42}

Массив внутри final (2) w hb−→ f hb−→ a mc−→ r1 dr−→ r2

T l = new T() {{

int[] u = new int [1];

u[0] = 42; w

fx = u;

GLOBAL = l;

T o = GLOBAL;

if (o != null) {

int[] lfx = o.fx;

int result = lfx [0]; r2

T l = new T() {{

u[0] = 42; w

fx = u;

GLOBAL = l; a

T o = GLOBAL;

if (o != null) {

int[] lfx = o.fx;

whb−−→ f , f

hb−−→ a

T l = new T() {{

u[0] = 42; w

fx = u;

GLOBAL = l; a

T o = GLOBAL;

if (o != null) {

int[] lfx = o.fx; r1

r1 видит запись a (т.к. простое final поле):

amc−−→ r1

T l = new T() {{

u[0] = 42; w

fx = u;

GLOBAL = l; a

T o = GLOBAL;

if (o != null) {

Поток 2 не создавал массив, r2 читает его элемент, r1 этоединственное чтение адреса массива, поэтому dereference chain:

r1dr−→ r2

T l = new T() {{

u[0] = 42; w

fx = u;

GLOBAL = l; a

T o = GLOBAL;

if (o != null) {

whb−−→ f

hb−−→ a

mc−−→ r1

dr−→ r2⇒ w

−−→ r2

T l = new T() {{

u[0] = 42; w

fx = u;

GLOBAL = l; a

T o = GLOBAL;

if (o != null) {

(whb∗

−−→ r2)⇒ result ∈ {42}

Массив наоборот (2.1) w hb−→ f hb−→ a mc−→ r1 dr−→ r2

T l = new T() {{

fx = u; // (!)

u[0] = 42; w

GLOBAL = l;

T o = GLOBAL;

if (o != null) {

int[] lfx = o.fx;

int result = lfx [0];

T l = new T() {{

fx = u; // (!)

u[0] = 42; w

GLOBAL = l; a

T o = GLOBAL;

if (o != null) {

Строим hb∗ так же как и в предыдущем случае

T l = new T() {{

fx = u; // (!)

u[0] = 42; w

GLOBAL = l; a

T o = GLOBAL;

if (o != null) {

(whb∗

−−→ r2)⇒ result ∈ {42}Результат не зависит от порядка записи final полей!

Утекание this (3) w hb−→ f hb−→ a mc−→ r1 dr−→ r2

Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = this;

Thread 2

T o = GLOBAL;

if (o != null) {

Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = this; a

Thread 2

T o = GLOBAL;

if (o != null) {

whb−−→ f , a

hb−−→ f

Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = this; a

Thread 2

T o = GLOBAL;

if (o != null) {

Но нам-то нужно fhb−−→ a!

Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = this; a

Thread 2

T o = GLOBAL;

if (o != null) {

Если ahb−−→ f и f

hb−−→ a, то a = f (антисимметричность hb )

Но публикация ссылки это никак не freeze action!

Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = this; a

Thread 2

T o = GLOBAL;

if (o != null) {

Нет hb∗ , поэтому возможны все варианты: result ∈ {0, 42}

Вредительское утекание this (4) w hb−→ f hb−→ a mc−→ r1 dr−→ r2

Thread 1

T l = new T() {{

fx = 42; w

GLb = this;

GLa = l;

Thread 2

T u = GLb;

T o = GLa;

if (o != null) {

Thread 1

T l = new T() {{

fx = 42; w

GLb = this; b

GLa = l; a

Thread 2

T u = GLb;

T o = GLa;

if (o != null) {

int result = o.fx;

whb−−→ f , f

hb−−→ a

Thread 1

T l = new T() {{

fx = 42; w

GLb = this; b

GLa = l; a

Thread 2

T u = GLb;

T o = GLa; ra

if (o != null) {

int result = o.fx;

Пусть второй поток увидел GLa, тогда amc−−→ ra!

Thread 1

T l = new T() {{

fx = 42; w

GLb = this; b

GLa = l; a

Thread 2

T u = GLb; rb

T o = GLa; ra

if (o != null) {

Где-то должно быть dr : rbdr−→ r1 или ra

dr−→ r1

Thread 1

T l = new T() {{

fx = 42; w

GLb = this; b

GLa = l; a

Thread 2

T u = GLb; rb

T o = GLa; ra

if (o != null) {

Если rbdr−→ r1, то мы попали, т.к. w

−−→ r1 не строится

Thread 1

T l = new T() {{

fx = 42; w

GLb = this; b

GLa = l; a

Thread 2

T u = GLb; rb

T o = GLa; ra

if (o != null) {

Вывод: если наш поток уже читал объект с незамороженнымиполями, то гарантий final semantics нет!

Reflection in action (5) w hb−→ f hb−→ a mc−→ r1 dr−→ r2

T t = new T() {{

fu = new U();

fu.x = 1; w1

GLOBAL = t;

U w = new U();

w.x = 42; w2

reflectSet(t.fu , w);

Thread 2

T t = GLOBAL;

if (t != null) {

U u = t.fu;

int result = u.x; r2

T t = new T() {{

fu = new U();

fu.x = 1;

GLOBAL = t;

U w = new U();

w.x = 42; w2

Thread 2

T t = GLOBAL;

if (t != null) {

U u = t.fu;

По-хорошему, нам нужно w2hb∗

−−→ r2 (иначе не запрещено видетьзапись 0 в w.x)

T t = new T() {{

fu = new U();

fu.x = 1;

GLOBAL = t;

U w = new U();

w.x = 42; w2

reflectSet(t.fu , w); f2

Thread 2

T t = GLOBAL;

if (t != null) {

U u = t.fu;

f2 не подходит для hb∗ : нет подходящего f 2hb−−→ a

T t = new T() {{

fu = new U();

fu.x = 1;

}}; f1

GLOBAL = t;

U w = new U();

w.x = 42; w2

Thread 2

T t = GLOBAL;

if (t != null) {

U u = t.fu;

f1 тоже не подходит для hb∗ : должно быть w2hb−−→ f 1

T t = new T() {{

fu = new U();

fu.x = 1;

}}; f1

GLOBAL = t;

U w = new U();

w.x = 42; w2

Thread 2

T t = GLOBAL;

if (t != null) {

U u = t.fu;

Получается, что чтению r2 не запрещено видеть 0

T t = new T() {{

fu = new U();

fu.x = 1;

}}; f1

GLOBAL = t; a

U w = new U();

w.x = 42; w2

Thread 2

T t = GLOBAL;

if (t != null) {

U u = t.fu;

Итого: после публикации менять final поля опасноresult ∈ {0, 1, 42}

Чиним reflection (5.1) w hb−→ f hb−→ a mc−→ r1 dr−→ r2

T t = new T() {{

fu = new U();

fu.x = 1;

U w = new U();

w.x = 42;

GLOBAL = t; a

Thread 2

T t = GLOBAL;

if (t != null) {

U u = t.fu;

int result = u.x;

Если публиковать ссылку после всех изменений final полей, товсё работает: result ∈ {1, 42}

Final wrapper (6) w hb−→ f hb−→ a mc−→ r1 dr−→ r2

Thread 1

A a = new O() {{

fx = 42; w

GL = a;

Thread 2

A a = GL;

B = new B() {{

fb = o;

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb;

int r = a.fx; r2

Thread 1

A a = new O() {{

fx = 42; w

GL = a; wa

Thread 2

A a = GL; ra

B = new B() {{

fb = o; wb

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb; rb

int r = a.fx; r1

rb видит wb ⇒ wbmc−−→ rb

ra видит запись wa : wamc−−→ ra

Thread 1

A a = new O() {{

fx = 42; w

GL = a; wa

Thread 2

A a = GL; ra

B = new B() {{

fb = o; wb

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb; rb

int r = a.fx; r1

Поток 2 пишет адрес созданного врагом объекта, поэтому

ramc−−→ wb

Thread 1

A a = new O() {{

fx = 42; w

GL = a; wa

Thread 2

A a = GL; ra

B = new B() {{

fb = o; wb

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb; rb

int r = a.fx; r1

Поток 3 не создавал объект A, r читает его поле, а rb этоединственное чтение адреса объекта, поэтому dereference chain:

rbdr−→ r1

Thread 1

A a = new O() {{

fx = 42; w

GL = a; wa

Thread 2

A a = GL; ra

B = new B() {{

fb = o; wb

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb; rb

int r = a.fx; r1

rbdr−→ r1⇒ rb

mc−−→ r1

Thread 1

A a = new O() {{

fx = 42; w

GL = a; wa

Thread 2

A a = GL; ra

B = new B() {{

fb = o; wb

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb; rb

int r = a.fx; r1

mc транзитивно (т.к. частичный порядок) ⇒ wamc−−→ r1

Thread 1

A a = new O() {{

fx = 42; w

GL = a; wa

Thread 2

A a = GL; ra

B = new B() {{

fb = o; wb

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb; rb

int r = a.fx; r1 r2

Возьмём r2 = r1, тогда r1dr−→ r2 ( dr рефлексивно)

Thread 1

A a = new O() {{

fx = 42; w

GL = a; wa

Thread 2

A a = GL; ra

B = new B() {{

fb = o; wb

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb; rb

int r = a.fx; r1 r2

whb−−→ f

hb−−→ a

mc−−→ r1

dr−→ r2⇒ w

Thread 1

A a = new O() {{

fx = 42; w

GL = a; wa

Thread 2

A a = GL; ra

B = new B() {{

fb = o; wb

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb; rb

int r = a.fx; r1 r2

(whb∗

−−→ r2)⇒ result ∈ {42}

Вопросы?

Семантика final полей в java

Software