一、servlet

问题一：两个不同客户端请求同一个 servlet，是创建了两个一模一样的 servlet，然后用完之后全部销毁呢，还是只要一个 servlet，tomcat 开启时创建，关闭时销毁?

结论：当 Tomcat 接收到客户端的 HTTP 请求时，会从线程池中取出一个线程，然后初始化对应的 Servlet 对象，之后调用 service() 方法。要注意的是每一个 Servlet 对象在 Tomcat 容器中只有一个实例对象，即是单例模式。如果多个 HTTP 请求请求的是同一个 Servlet，那么这两个 HTTP 请求对应的线程将并发调用 Servlet 的 service() 方法。

问题二：在 Servlet 中定义成员变量，然后再在方法中对其赋值，那样就能保存一些我想要的信息?

结论：一个 Servlet 在 tomcat 中是单例的形式，即所有请求这个 Servlet 获取的 Servlet 对象是相同的，这么想来，Servlet 中所有的成员变量都是线程不安全的，即所有线程公用这个成员变量。那么是 Servlet 中不能定义成员变量了吗？当然不是，将变量放入 ThreadLocal 中 - - 这样每个线程享用独自的成员变量，即达到了线程安全的目的

二、request

问题一：Controller 层中的几乎每个方法都要参数: HttpServletRequest request，那么为什么不想 server 和 dao 一样直接依赖注入进来呢，这样每个方法不是都不需要这个参数了吗？？？难道是不能依赖注入吗，还是因为这样搞会导致 request 线程不安全呢？？？

测试：

结论：发现的结论：依赖注入的 request 是单例的（两个不同的请求，但是获取的 request 的 hashcode 确实相同的）；但是依赖注入的 request 线程却又是安全的（如果不安全，第二次请求输出的 age 应该也是 20）。

问题二：这里没有把 request 放入 ThreadLocal 中，为什么 request 就变成了线程安全呢？？？

结论：RequestContextListener 在 servletContext 初始化时为 ThreadLoacl 配置 request 对象，FrameworkServlet 作为兜底策略，保证所有被 DispatcherServlet 处理的 request 在被处理前都被设置到 ThreadLocal 中

猜想：我们可以确定的是这样是可以拿到 request 对象的：

 ServletRequestAttributes attributes = (ServletRequestAttributes)RequestContextHolder.getRequestAttributes();
 HttpServletRequest request = attributes.getRequest();

然后我面点开 RequestContextHolder 的 getRequestAttributes() 方法：

发现 RequestAttributes 对象来源于 requestAttributesHolder 成员变量，而 requestAttributesHolder 这个成员变量在 RequestContextHolder 中放在 ThreadLocal 中的

三、session

误区一：浏览器关闭，session 真的销毁了吗？？？

结论：Session 结束生命周期，有以下两种办法：一个是 Session.invalidate() 方法；一个是当前用户和服务器的交互时间超过 session 过期时间后，Session 会失效

误区二：客户端第一次访问服务器，服务器就会立马产生 session 吗？？？

测试：我们先配置一个 session 监听器 - - - 只要 session 被创建或者销毁都能被监听到，如果有 session 被创建，那么控制台就会输出 session 被创建。

然后重启服务器，请求一下–获取验证码–这个接口

结果就输出了一个 aaa，并没有输出 session 被创建这句话，说明：不是客户端第一次请求服务器都会创建 session 的，那么怎么样才会创建呢？？？

这次我们获取一下 sessionid:request.getSession().getId(); - - - 重启服务器

结论：这次触发了监听器，这就说明，服务器端只有用到 session 的时候才会去创建 session，并不是客户端第一次请求服务器，服务器就创建 session，然后默认返回 sessionid 作为 cookie。

疑问：为什么首页是 jsp，然后请求服务器，也没用到 session，为什么服务器就创建了 seseion 呢？？？难道上面的结论是错的吗？？？

结论：如果 JSP 没有显示的使用 <% @page session=”false”%> 关闭 session，则 JSP 文件在编译成 Servlet 时将会自动加上这样一条语句 HttpSession session = HttpServletRequest.getSession(true); 这也是 JSP 中隐含的 session 对象的来历。当 JSP 页面没有显式禁止 session 的时候，在打开浏览器第一次请求该 jsp 的时候，服务器会自动为其创建一个 session，并赋予其一个 sessionID，发送给客户端的浏览器。