Семантика final полей в java

Семантика final полей в java

Владимир Ситников, Валентин Коваленко[email protected], @VladimirSitnikv

NetCracker

Сентябрь 2014

Введение

Примеры

2 / 103 (c) Copyright 2014, NetCracker Technology Corp. All rights reserved

Зачем final в JMM?


Безопасность String

String s = ...

if (checkAccess(s)) {

return readFile(s);

}

Правильно ли проверяются права на доступ к файлу?


Без опасность String в java 1.4

String s = ...


return readFile(s);

}

Ответ зависит от версии, и в java 1.4 возможны проблемы



String s = GLOBAL;


return readFile(s);

}

HackThread

GLOBAL =

"/tmp/etc/passwd"

.substring (4);

Например: HackThread выполняет .substring(4) и коварнопередаёт его в поток, читающий файлы



String s = GLOBAL;


return readFile(s);

}

HackThread

GLOBAL =

"/tmp/etc/passwd"

.substring (4);

В java 1.4 substring-строка ссылается на тот же массивсимволов, и всё опреледяется полями String#offset и String#size



String s = GLOBAL;


return readFile(s);

}

HackThread

GLOBAL =

"/tmp/etc/passwd"

.substring (4);

race

race

Синхронизации между потоками нет, поэтому читатель можетувидеть недоинициализированный объект-строку



String s = GLOBAL;


return readFile(s);

}

HackThread

GLOBAL =

"/tmp/etc/passwd"

.substring (4);

race

race

checkAccess может увидеть "/tmp/etc/passwd", а readFile уже"/etc/passwd"

Даже синхронизация на s и volatile не спасут!



String s = GLOBAL;


return readFile(s);

}

HackThread

GLOBAL =

"/tmp/etc/passwd"

.substring (4);

race

race

checkAccess может увидеть "/tmp/etc/passwd", а readFile уже"/etc/passwd"Даже синхронизация на s и volatile не спасут!


Безопасность String в java 1.5+

String s = GLOBAL;


return readFile(s);

}

HackThread

GLOBAL =

"/tmp/etc/passwd"

.substring (4);

hb

hb

В java 1.5+ final защищает от недосозданных объектов иHackTread


Зачем нам JMM?


Код-загадка

int x = 1;

public int neverTryThisAtHome () {

int i = this.x; // it is 1, isn’t it?

this.setX (2); // just updates x to 2

return this.x - i; // 2 - 1 == ...?

}

Какие значения могут вернуться? 1? 0? -1?



int x = 1;




return this.x - i; // 2 - 1 == ...?

}

Да, тут вернётся 1



final int x = 1;




return this.x - i; // 2 - 1 == ...?

}

А теперь добавим ножек final



final int x = 1;




return this.x - i; // 2 - 1 == ...?

}

Спецификация разрешает все варианты: 1, 0, и даже -1! (см.пример 17.5.3-1)


Немного теории


Программный порядок (program order)

I Отражает то, в каком порядке написан исходный код

I Компилятору запрещено переупорядочивать, игнорировать именять операции, если это нарушит program order

I Но это не значит, что всё выполняется именно так, как висходном коде

I Например: для операций над локальными переменнымиprogram order вообще не определён



I Отражает то, в каком порядке написан исходный кодI Компилятору запрещено переупорядочивать, игнорировать именять операции, если это нарушит program order














Частичный порядок (partial order)

I В главе 17 JLS 8 раз упоминается слово "partial order"

I Частичным порядкомhb−−→ является бинарное отношение,

которое:

I Рефлексивно: для любого элемента x выполняется xhb−−→ x

I Антисимметрично: если xhb−−→ y и y

hb−−→ x , то x и y это одно и

то же

I Транзитивно: если xhb−−→ y и y

hb−−→ z , то x

hb−−→ z





которое:




то же



hb−−→ z





которое:




то же



hb−−→ z





которое:




то же



hb−−→ z





которое:




то же



hb−−→ z


Happens-before

I Основной принцип JMM: рассмотрим все возможныевыполнения и откинем "неправильные"

I Happens-before это частичный порядок, который долженсоблюдаться

I Запрещено видеть "будущие" записи (rhb−−→ w)

I И те, которые были перетёрлись в hb порядке:

w1hb−−→ w2

hb−−→ r

I И те, которые запрещены просто так: 17.4.8 executions andcausality requirements


Happens-before





w1hb−−→ w2

hb−−→ r



Happens-before





w1hb−−→ w2

hb−−→ r



Happens-before





w1hb−−→ w2

hb−−→ r



Happens-before





w1hb−−→ w2

hb−−→ r



Семантика final полей одним слайдом

whb−−→ f

hb−−→ a

mc−−→ r1

dr−→ r2⇒ w

hb∗

−−→ r2

I w и r2 – интересующие нас нас запись и чтение

I f – заморозка final поля, которое читается в r1



whb−−→ f

hb−−→ a

mc−−→ r1

dr−→ r2⇒ w

hb∗

−−→ r2

I w и r2 – интересующие нас нас запись и чтениеI f – заморозка final поля, которое читается в r1



whb−−→ f

hb−−→ a

mc−−→ r1

dr−→ r2⇒ w

hb∗

−−→ r2

I Если единственный путь от записи к чтению идёт через всеэти стрелочки, то мы не можем увидеть более ранние записи

I Если путей больше одного – как повезёт



whb−−→ f

hb−−→ a

mc−−→ r1

dr−→ r2⇒ w

hb∗

−−→ r2

I Если единственный путь от записи к чтению идёт через всеэти стрелочки, то мы не можем увидеть более ранние записи

I Если путей больше одного – как повезёт


Freeze action w hb−→ f hb−→ a mc−→ r1 dr−→ r2

Поле

Freezeслучается в конце конструктора и морозит final поля



Freeze action

Поле




Freeze actionПоле



Dereference chain: что это? w hb−→ f hb−→ a mc−→ r1 dr−→ r2

T local = GLOBAL; r1

int localX = local.x; r2

I r2 читает поле объекта

I Поток не создавал объектI Значит, где-то мы должны были читать адрес этого объекта

I Это называется r1dr−→ r2





I r2 читает поле объектаI Поток не создавал объект

I Значит, где-то мы должны были читать адрес этого объекта






I r2 читает поле объектаI Поток не создавал объектI Значит, где-то мы должны были читать адрес этого объекта






dr

I r2 читает поле объектаI Поток не создавал объектI Значит, где-то мы должны были читать адрес этого объекта



Dereference chain два потока w hb−→ f hb−→ a mc−→ r1 dr−→ r2

Thread 1

T localA = new T();

GLOBAL = localA;

Thread 2

T localB = GLOBAL; r1

if (localB != null) {

int localX = localB.x; r2

}

dr

r1dr−→ r2 (читаем поле несозданного нами объекта)



Thread 1

T localA = new T(); a

GLOBAL = localA;

Thread 2




}

dr

dr?

Есть ли adr−→ r2?



Thread 1

T localA = new T(); a

GLOBAL = localA;

Thread 2




}

dr

dr?

Между потоками dr не возникает!


Dereference chain: контрольный выстрелw hb−→ f hb−→ a mc−→ r1 dr−→ r2

T local = GLOBAL; ra

local = GLOBAL; rb


Есть ли здесь dr ?


Dereference chain: контрольный выстрелw hb−→ f hb−→ a mc−→ r1 dr−→ r2

T local = GLOBAL; ra

local = GLOBAL; rb


dr?

dr?

Один из radr−→ r2 или rb

dr−→ r2 точно должен быть, но точнее

сказать невозможно47 / 103 (c) Copyright 2014, NetCracker Technology Corp. All rights reserved

Memory chain: что это? w hb−→ f hb−→ a mc−→ r1 dr−→ r2

Thread 1

T o = new T();

GL = o; w1

Thread 2

T o = GL; r1

GL2 = o;

Thread 3

T o = GL2;

int r = o.x;

mc

Если чтение видит запись, то w1mc−−→ r1



Thread 1

T o = new T();

GL = o; w1

Thread 2

T o = GL; r1

GL2 = o; w2

Thread 3

T o = GL2;

int r = o.x;

mc

mc

Если пишем адрес созданного врагом объекта, то r1mc−−→ w2



Thread 1

T o = new T();

GL = o; w1

Thread 2

T o = GL; r1

GL2 = o; w2

Thread 3

T o = GL2; r3

int r = o.x;

mc

mc

mc

r3 видит w2 ⇒ w2mc−−→ r3



Thread 1

T o = new T();

GL = o; w1

Thread 2

T o = GL; r1

GL2 = o; w2

Thread 3

T o = GL2; r3

int r = o.x; r4

mc

mc

mc dr

r3dr−→ r4 (читаем поле объекта)

⇒ r3mc−−→ r4



Thread 1

T o = new T();

GL = o; w1

Thread 2

T o = GL; r1

GL2 = o; w2

Thread 3

T o = GL2; r3

int r = o.x; r4

mc

mc

mc dr

mc

r3dr−→ r4 (читаем поле объекта) ⇒ r3

mc−−→ r4



Thread 1

T o = new T();

GL = o; w1

Thread 2

T o = GL; r1

GL2 = o; w2

Thread 3

T o = GL2; r3

int r = o.x; r4

mc

mc

mc dr

mc

mc

mc транзитивно (т.к. частичный порядок) ⇒ w1mc−−→ r4


Введение

Примеры


Disclaimer

I Все примеры опасно синхронизированы (иначе зачем мысобрались?)

I Случаи чтения null не рассматриваем (даже если онивозможны)

I При составлении слайдов пострадал не один мозг


Disclaimer





Disclaimer





Эталонный final (1) w hb−→ f hb−→ a mc−→ r1 dr−→ r2

Thread 1

T l = new T() {{

fx = 42; w

}};

GLOBAL = l;

Thread 2

T o = GLOBAL;

if (o != null) {

int result = o.fx; r2

}

Возможно ли в result получить 0?



Thread 1

T l = new T() {{

fx = 42; w

}}; f

GLOBAL = l; a

Thread 2

T o = GLOBAL;

if (o != null) {

int result = o.fx;

}

hb

hb

Действия в одном потоке образуют happens-before:

whb−−→ f , f

hb−−→ a



Thread 1

T l = new T() {{

fx = 42; w

}}; f

GLOBAL = l; a

Thread 2

T o = GLOBAL; r0

if (o != null) {

int result = o.fx;

}

hb

hb

mc

r0 видит запись a :

amc−−→ r0



Thread 1

T l = new T() {{

fx = 42; w

}}; f

GLOBAL = l; a

Thread 2

T o = GLOBAL; r0

if (o != null) {


}

hb

hb

mc

dr

Поток 2 не создавал объект, r1 читает его поле, а r этоединственное чтение адреса объекта, поэтому dereference chain:

r0dr−→ r1



Thread 1

T l = new T() {{

fx = 42; w

}}; f

GLOBAL = l; a

Thread 2

T o = GLOBAL; r0

if (o != null) {


}

hb

hb

mc

dr

mc

r0dr−→ r1⇒ r0

mc−−→ r1



Thread 1

T l = new T() {{

fx = 42; w

}}; f

GLOBAL = l; a

Thread 2

T o = GLOBAL; r0

if (o != null) {


}

hb

hb

mc

mc

mc

amc−−→ r1 ( mc транзитивно)



Thread 1

T l = new T() {{

fx = 42; w

}}; f

GLOBAL = l; a

Thread 2

T o = GLOBAL;

if (o != null) {

int result = o.fx; r1 r2

}

hb

hb

mc

dr

Возьмём r2 = r1, тогда r1dr−→ r2 ( dr рефлексивно)



Thread 1

T l = new T() {{

fx = 42; w

}}; f

GLOBAL = l; a

Thread 2

T o = GLOBAL;

if (o != null) {


}

hb

hb

mc

dr

hb*

Нашли всё необходимое для HB∗:

whb−−→ f

hb−−→ a

mc−−→ r1

dr−→ r2⇒ w

hb∗

−−→ r2



Thread 1

T l = new T() {{

fx = 42; w

}}; f

GLOBAL = l; a

Thread 2

T o = GLOBAL;

if (o != null) {


}

hb

hb

mc

dr

hb*

(whb∗

−−→ r2)⇒ result ∈ {42}


Массив внутри final (2) w hb−→ f hb−→ a mc−→ r1 dr−→ r2

T l = new T() {{

int[] u = new int [1];

u[0] = 42; w

fx = u;

}};

GLOBAL = l;

T o = GLOBAL;

if (o != null) {

int[] lfx = o.fx;

int result = lfx [0]; r2

}




T l = new T() {{


u[0] = 42; w

fx = u;

}}; f

GLOBAL = l; a

T o = GLOBAL;

if (o != null) {

int[] lfx = o.fx;


}

hb

hb


whb−−→ f , f

hb−−→ a



T l = new T() {{


u[0] = 42; w

fx = u;

}}; f

GLOBAL = l; a

T o = GLOBAL;

if (o != null) {

int[] lfx = o.fx; r1


}

hb

hb

mc

r1 видит запись a (т.к. простое final поле):

amc−−→ r1



T l = new T() {{


u[0] = 42; w

fx = u;

}}; f

GLOBAL = l; a

T o = GLOBAL;

if (o != null) {



}

hb

hb

mc

dr

Поток 2 не создавал массив, r2 читает его элемент, r1 этоединственное чтение адреса массива, поэтому dereference chain:

r1dr−→ r2



T l = new T() {{


u[0] = 42; w

fx = u;

}}; f

GLOBAL = l; a

T o = GLOBAL;

if (o != null) {



}

hb

hb

mc

dr

hb*


whb−−→ f

hb−−→ a

mc−−→ r1

dr−→ r2⇒ w

hb∗

−−→ r2



T l = new T() {{


u[0] = 42; w

fx = u;

}}; f

GLOBAL = l; a

T o = GLOBAL;

if (o != null) {



}

hb

hb

mc

dr

hb*

(whb∗

−−→ r2)⇒ result ∈ {42}


Массив наоборот (2.1) w hb−→ f hb−→ a mc−→ r1 dr−→ r2

T l = new T() {{


fx = u; // (!)

u[0] = 42; w

}};

GLOBAL = l;

T o = GLOBAL;

if (o != null) {

int[] lfx = o.fx;

int result = lfx [0];

}




T l = new T() {{


fx = u; // (!)

u[0] = 42; w

}}; f

GLOBAL = l; a

T o = GLOBAL;

if (o != null) {



}

hbhb

mc

dr

hb∗

Строим hb∗ так же как и в предыдущем случае



T l = new T() {{


fx = u; // (!)

u[0] = 42; w

}}; f

GLOBAL = l; a

T o = GLOBAL;

if (o != null) {



}

hbhb

mc

dr

hb∗

(whb∗

−−→ r2)⇒ result ∈ {42}Результат не зависит от порядка записи final полей!


Утекание this (3) w hb−→ f hb−→ a mc−→ r1 dr−→ r2

Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = this;

}};

Thread 2

T o = GLOBAL;

if (o != null) {


}




Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = this; a

}}; f

Thread 2

T o = GLOBAL;

if (o != null) {


}

hb

hb


whb−−→ f , a

hb−−→ f



Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = this; a

}}; f

Thread 2

T o = GLOBAL;

if (o != null) {


}

hb

hb

hb?

Но нам-то нужно fhb−−→ a!



Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = this; a

}}; f

Thread 2

T o = GLOBAL;

if (o != null) {


}

hb

hb

hb?

Если ahb−−→ f и f

hb−−→ a, то a = f (антисимметричность hb )

Но публикация ссылки это никак не freeze action!



Thread 1

T l = new T() {{

fx = 42; w

GLOBAL = this; a

}}; f

Thread 2

T o = GLOBAL;

if (o != null) {


}

hb

hb

hb?

Нет hb∗ , поэтому возможны все варианты: result ∈ {0, 42}


Вредительское утекание this (4) w hb−→ f hb−→ a mc−→ r1 dr−→ r2

Thread 1

T l = new T() {{

fx = 42; w

GLb = this;

}};

GLa = l;

Thread 2

T u = GLb;

T o = GLa;

if (o != null) {


}




Thread 1

T l = new T() {{

fx = 42; w

GLb = this; b

}}; f

GLa = l; a

Thread 2

T u = GLb;

T o = GLa;

if (o != null) {

int result = o.fx;

}

hb

hb

hb?


whb−−→ f , f

hb−−→ a



Thread 1

T l = new T() {{

fx = 42; w

GLb = this; b

}}; f

GLa = l; a

Thread 2

T u = GLb;

T o = GLa; ra

if (o != null) {

int result = o.fx;

}

hb

hb

hb?

mc

Пусть второй поток увидел GLa, тогда amc−−→ ra!



Thread 1

T l = new T() {{

fx = 42; w

GLb = this; b

}}; f

GLa = l; a

Thread 2

T u = GLb; rb

T o = GLa; ra

if (o != null) {


}

hb

hb

hb?

mc

dr?

dr?

Где-то должно быть dr : rbdr−→ r1 или ra

dr−→ r1



Thread 1

T l = new T() {{

fx = 42; w

GLb = this; b

}}; f

GLa = l; a

Thread 2

T u = GLb; rb

T o = GLa; ra

if (o != null) {


}

hb

hb

hb?

mc

dr?

dr

Если rbdr−→ r1, то мы попали, т.к. w

hb∗

−−→ r1 не строится



Thread 1

T l = new T() {{

fx = 42; w

GLb = this; b

}}; f

GLa = l; a

Thread 2

T u = GLb; rb

T o = GLa; ra

if (o != null) {


}

hb

hb

hb?

mc

dr?

dr

Вывод: если наш поток уже читал объект с незамороженнымиполями, то гарантий final semantics нет!


Reflection in action (5) w hb−→ f hb−→ a mc−→ r1 dr−→ r2

T t = new T() {{

fu = new U();

fu.x = 1; w1

}};

GLOBAL = t;

U w = new U();

w.x = 42; w2

reflectSet(t.fu , w);

Thread 2

T t = GLOBAL;

if (t != null) {

U u = t.fu;

int result = u.x; r2

}




T t = new T() {{

fu = new U();

fu.x = 1;

}};

GLOBAL = t;

U w = new U();

w.x = 42; w2


Thread 2

T t = GLOBAL;

if (t != null) {

U u = t.fu;


}

hb*?

По-хорошему, нам нужно w2hb∗

−−→ r2 (иначе не запрещено видетьзапись 0 в w.x)



T t = new T() {{

fu = new U();

fu.x = 1;

}};

GLOBAL = t;

U w = new U();

w.x = 42; w2

reflectSet(t.fu , w); f2

Thread 2

T t = GLOBAL;

if (t != null) {

U u = t.fu;


}

hb*?

f2 не подходит для hb∗ : нет подходящего f 2hb−−→ a



T t = new T() {{

fu = new U();

fu.x = 1;

}}; f1

GLOBAL = t;

U w = new U();

w.x = 42; w2


Thread 2

T t = GLOBAL;

if (t != null) {

U u = t.fu;


}

hb*?

hb?

f1 тоже не подходит для hb∗ : должно быть w2hb−−→ f 1



T t = new T() {{

fu = new U();

fu.x = 1;

}}; f1

GLOBAL = t;

U w = new U();

w.x = 42; w2


Thread 2

T t = GLOBAL;

if (t != null) {

U u = t.fu;


}

hb*?

hb?

Получается, что чтению r2 не запрещено видеть 0



T t = new T() {{

fu = new U();

fu.x = 1;

}}; f1

GLOBAL = t; a

U w = new U();

w.x = 42; w2


Thread 2

T t = GLOBAL;

if (t != null) {

U u = t.fu;


}

hb*?

hb?

Итого: после публикации менять final поля опасноresult ∈ {0, 1, 42}


Чиним reflection (5.1) w hb−→ f hb−→ a mc−→ r1 dr−→ r2

T t = new T() {{

fu = new U();

fu.x = 1;

}};

U w = new U();

w.x = 42;


GLOBAL = t; a

Thread 2

T t = GLOBAL;

if (t != null) {

U u = t.fu;

int result = u.x;

}

Если публиковать ссылку после всех изменений final полей, товсё работает: result ∈ {1, 42}


Final wrapper (6) w hb−→ f hb−→ a mc−→ r1 dr−→ r2

Thread 1

A a = new O() {{

fx = 42; w

}};

GL = a;

Thread 2

A a = GL;

B = new B() {{

fb = o;

}};

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb;

int r = a.fx; r2




Thread 1

A a = new O() {{

fx = 42; w

}};

GL = a; wa

Thread 2

A a = GL; ra

B = new B() {{

fb = o; wb

}};

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb; rb

int r = a.fx; r1

mc

mc

rb видит wb ⇒ wbmc−−→ rb

ra видит запись wa : wamc−−→ ra



Thread 1

A a = new O() {{

fx = 42; w

}};

GL = a; wa

Thread 2

A a = GL; ra

B = new B() {{

fb = o; wb

}};

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb; rb

int r = a.fx; r1

mc

mc

mc

Поток 2 пишет адрес созданного врагом объекта, поэтому

ramc−−→ wb



Thread 1

A a = new O() {{

fx = 42; w

}};

GL = a; wa

Thread 2

A a = GL; ra

B = new B() {{

fb = o; wb

}};

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb; rb

int r = a.fx; r1

mc

mc

mcdr

Поток 3 не создавал объект A, r читает его поле, а rb этоединственное чтение адреса объекта, поэтому dereference chain:

rbdr−→ r1



Thread 1

A a = new O() {{

fx = 42; w

}};

GL = a; wa

Thread 2

A a = GL; ra

B = new B() {{

fb = o; wb

}};

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb; rb

int r = a.fx; r1

mc

mc

mcdr

mc

rbdr−→ r1⇒ rb

mc−−→ r1



Thread 1

A a = new O() {{

fx = 42; w

}};

GL = a; wa

Thread 2

A a = GL; ra

B = new B() {{

fb = o; wb

}};

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb; rb

int r = a.fx; r1

mc

mc

mc

mc

mc

mc транзитивно (т.к. частичный порядок) ⇒ wamc−−→ r1



Thread 1

A a = new O() {{

fx = 42; w

}}; f

GL = a; wa

Thread 2

A a = GL; ra

B = new B() {{

fb = o; wb

}};

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb; rb

int r = a.fx; r1 r2

mc

dr

Возьмём r2 = r1, тогда r1dr−→ r2 ( dr рефлексивно)



Thread 1

A a = new O() {{

fx = 42; w

}}; f

GL = a; wa

Thread 2

A a = GL; ra

B = new B() {{

fb = o; wb

}};

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb; rb

int r = a.fx; r1 r2

mc

dr

hb

hb

hb*


whb−−→ f

hb−−→ a

mc−−→ r1

dr−→ r2⇒ w

hb∗

−−→ r2101 / 103 (c) Copyright 2014, NetCracker Technology Corp. All rights reserved


Thread 1

A a = new O() {{

fx = 42; w

}}; f

GL = a; wa

Thread 2

A a = GL; ra

B = new B() {{

fb = o; wb

}};

GL2 = b;

Thread 3

B B = GL2;

A a = b.fb; rb

int r = a.fx; r1 r2

mc

dr

hb

hb

hb*

(whb∗

−−→ r2)⇒ result ∈ {42}


Вопросы?


Software

Семантика final полей в java