CXF有坑（加拿大ossd课程有坑）

问题来历:

早段时间,运营同学报了一个奇怪的case：A用户以B的身份参加了某营销活动。这种事情在系统中是毁三观的。但事实如此，究竟如何且听我道来。

一开始我们怀疑如下：

• 前端参数错误

• 业务有漏洞

• 遭到攻击

但经过检查，排除了以上可能。

接下来在大量日志中，有这样一个现象引起了我们的注意：

以上现象的日志是业务代码第一行输出的。就是说业务层刚开始拿到的数据就是错误的，于是做了错误的处理。难道是CXF框架的锅?(我们的rpc调用使用的是CXF进行的)

我们做了如下分析：首先历史以来，这个服务的数据一直正常，仅出现了这一例CASE，所以推测在高并发下产生的。

我抱着试一试的态度,在测试环境做了模拟，高并发下果然复现了。并做了如下测试，得出以下现象：

以上现象让我苦思良久，这个问题是毁三观的。

首先，JDK升级怎么可能影响业务数据呢?难道是JDK编译后性能提升减小了复现概率？JDK编译出来的字节码不一致？难不成CXF和JDK都同时修复了这个问题?

在苦于无法找出答案时，无意中发现单步调试的代码和测试环境的不一致。才发现原来CXF使用maven的特性在jdk版本不同时依赖的lib也不相同。

到此为止，可以断定这个问题是CXF依赖引起的。

最关键问题发现后，接下来我去单步的跟进了CXF的代码，经过几次来回调试，终于定位到是jaxb-impl-2.1.13.jar的原因，问题代码如下：

原来这里的itemsLoader是一个单例于是里面的target和map两个变量在多线程时是临界资源。果然在2.1.14中修复了这个问题。修复的方式就是把它们变成了线程变量，代码如下:

至此问题排查完毕。我只想说CXF留的这个坑害人不浅。

后记：

很多人在使用xml解析时应该都了解过jaxb，因为这个lib是java 虚拟机中就自带的，可以说是java的基础组件。但是如此基础的组件怎么可能需要开发者再去写个adapter来做些解析呢？第一次使用jaxb时遇到这个问题的人一定很困惑。其实我也困惑了很久，我想就是因为JAXB XML标签不支持复杂类型的数据结构，包括array也是不支持的。

CXF：

/* Map passing

* JAXB also does not support Maps. It handles Lists great, but Maps are

* not supported directly. They also require use of a XmlAdapter to map

* the maps into beans that JAXB can use.

*/

@XmlJavaTypeAdapter(IntegerUserMapAdapter.class)

Map<Integer, User> getUsers();

官方声明：http://cxf.apache.org/docs/a-simple-jax-ws-service.html

JAXB设计上不支持Map类型，支持类型如下：

https://docs.oracle.com/javase/tutorial/jaxb/intro/bind.html

但是：array就可以不用adapter啊。为啥Map就必须用呢？Map确实不是必须用的，如jaxb官网描述string-string就没有用。直接是这样的：http://camel.apache.org/jaxb.html

When marshalling using JAXB or SOAP then the JAXB implementation will automatic assign namespace prefixes, such as ns2, ns3, ns4 etc. To control this mapping, Camel allows you to refer to a map which contains the desired mapping.

Notice this requires having JAXB-RI 2.1 or better (from SUN) on the classpath, as the mapping functionality is dependent on the implementation of JAXB, whether its supported.

For example in Spring XML we can define a Map with the mapping. In the mapping file below, we map SOAP to use soap as prefix. While our custom namespace "http://www.mycompany.com/foo/2" is not using any prefix.

那么问题来了，为啥复杂Map就不能支持了呢？其实是基于标签描述变量名的方式，其描述Map时的数据只能达到某个变量而无法明确变量的具体类型，在java这种强类型语言中将导致无法实例化，所以这也就是不支持Map的真实原因吧。