如何防止Web应用程序中的竞争状况？

考虑一个电子商务网站，其中Alice和Bob都在编辑产品清单。爱丽丝（Alice）正在改善描述，而鲍勃（Bob）正在更新价格。他们开始同时编辑Acme Wonder Widget。鲍勃首先完成并用新价格保存产品。爱丽丝花了更长的时间来更新描述，完成后，她用新描述保存产品。不幸的是，她还用原先的价格覆盖了价格，这是不希望的。

以我的经验，这些问题在Web应用程序中极为常见。某些软件（例如Wiki软件）确实对此具有保护作用-通常第二次保存失败，并显示“页面在编辑时已更新”。但是大多数网站都没有这种保护。

值得注意的是，控制器方法本身就是线程安全的。通常，他们使用数据库事务，从某种意义上说，如果爱丽丝和鲍勃试图在同一时刻进行保存，就不会造成损坏，这使它们变得安全。竞争条件是由Alice或Bob在浏览器中拥有过时的数据引起的。

我们如何预防这种比赛条件？我特别想知道：

• 可以使用哪些技术？例如，跟踪上次更改的时间。各自的优缺点是什么。
• 什么是有用的用户体验？
• 此保护内置哪些框架？

您需要“读取您的写内容”，这意味着在写下更改之前，您需要再次读取记录，并检查自上次读取记录以来对记录进行了任何更改。您可以逐字段（细粒度）或基于时间戳（粗粒度）进行此操作。进行此检查时，您需要对记录进行排他锁定。如果未进行任何更改，则可以记下您的更改并释放锁。如果在此期间记录已更改，则中止事务，释放锁并通知用户。

我已经看到2种主要方式：

1. 在隐藏的输入中添加用户正在编辑的页面的最新更新的时间戳。提交时间戳时，将对照当前时间戳进行检查，如果时间戳不匹配，则其他人已对其进行更新并返回错误。

   • 优点：多个用户可以编辑页面的不同部分。错误页面可能会导致差异页面，第二个用户可以在该页面将其更改合并到新页面中。

   • 缺点：有时在进行大量并发编辑时会浪费大量精力。

2. 当用户在合理的时间内开始编辑页面锁时，另一个用户随后尝试编辑该页面时，他将得到一个错误页面，并且必须等待直到锁过期或第一个用户已提交。

   • 优点：编辑工作不会浪费。

   • 缺点：不道德的用户可以无限期锁定页面。除非另有处理（使用技术1），否则具有过期锁的页面可能仍然可以提交。

使用乐观并发控制。

将versionNumber或versionTimestamp列添加到有问题的表中（整数最安全）。

用户1读取记录：

{id:1, status:unimportant, version:5}

用户2读取记录：

{id:1, status:unimportant, version:5}

用户1保存记录，这将增加版本：

save {id:1, status:important, version:5}
new value {id:1, status:important, version:6}

用户2尝试保存他们读取的记录：

save {id:1, status:unimportant, version:5}
ERROR

Hibernate / JPA可以通过@Version注释自动执行此操作

您通常需要在会话中的某个地方维护读取记录的状态（这比隐藏形式的变量更安全）。

某些对象关系映射（ORM）系统将检测对象的哪些字段自从数据库加载后已更改，并将构造SQL更新语句以仅设置这些值。Ruby on Rails的ActiveRecord就是这样的ORM。

最终的影响是，用户未更改的字段未包含在发送给数据库的UPDATE命令中。同时更新不同字段的人不会互相覆盖更改。

根据您使用的编程语言，研究可用的ORM，并查看它们中的任何一个是否只会更新应用程序中标记为“脏”的数据库中的列。