Spring MVC中直接注入HttpServletRequst存在安全风险吗？

看似很简单的一个问题，借此追踪下spring的源码处理 在写springMVC的Control中有很多这种代码, 如需要获取request对象去做某些事情 如： @Controller @RequestMapping(value = "/user") public class LoanActionPage extends AbstractAction { @RequestMapping(value = "/page/active") public String loanAaccountActivePage(HttpServletRequest request) { // get request to dosomething String pathInfo = request.getPathInfo(); return "active"; } } 　　 貌似每次要写个control时都得把request当住参数来传，很是冗余。 其实可以在control里定义一个request对象，注入，然后随时用 如： public class AbstractAction { @Autowired protected HttpServletRequest request; ... ... 　　 然后在control中直接用： @Controller @RequestMapping(value = "/user") public class LoanActionPage extends AbstractAction { @RequestMapping(value = "/page/active") public String loanAaccountActivePage() { // get request to dosomething String pathInfo = request.getPathInfo(); return "active"; } } 那么问题来了，sevlet是多线程的，每次请求的request其实是个新的对象，这样直接共享引用，是否会造成线程不安全呢? 方便了，问题也来了，servelt其实是多线程，共享一个request是否会有安全问题呢，分析下spring的代码 1, 注入的request何处来? 发现是注入其实是往WebApplicationContextUtils通过RequestObjectFactory拿值，跟踪 返回的是RequestContextHolder里的值. 追踪RequestContextHolder 每次返回的其实是，RequestAttributes的实现类ServletWebRequest(ServletRequestAttributes)里的request. 因为RequestAttributes是属于threadLocal的，所以注入的request也是线程安全的了 2, spring何时设置的request对象? HttpServlet实现类 FrameworkServlet-> service()->processRequst() 每次请求都会往里面设置最新的request, 设值