JavaScript는 종종 단일 스레드로 설명되는데, 이는 한 번에 하나의 작업을 실행한다는 의미입니다. 그러나 이는 HTTP 응답이나 데이터베이스 요청과 같은 비동기 작업을 기다리는 동안 다른 작업을 처리할 수 없는 상태에서 모든 코드 조각이 완전히 격리되어 실행된다는 것을 의미합니까? 대답은 아니요! 실제로 JavaScript의 이벤트 루프와 Promise를 사용하면 다른 코드가 계속 실행되는 동안 비동기 작업을 효율적으로 처리할 수 있습니다.
진실은 자바스크립트가 실제로 단일 스레드라는 것입니다. 그러나 이 작동 방식을 잘못 이해하면 일반적인 함정에 빠질 수 있습니다. 그러한 함정 중 하나는 특히 경쟁 조건을 유발하지 않고 공유 리소스에 대한 액세스를 제어하려고 할 때 API 요청과 같은 비동기 작업을 관리하는 것입니다. 실제 사례를 살펴보고 잘못된 구현이 얼마나 심각한 버그로 이어질 수 있는지 살펴보겠습니다.
데이터를 업데이트하려면 백엔드 서비스에 로그인해야 하는 애플리케이션에서 버그를 발견했습니다. 로그인하면 앱은 지정된 만료 날짜가 있는 액세스 토큰을 받게 됩니다. 이 만료 날짜가 지나면 업데이트 엔드포인트에 새로운 요청을 하기 전에 다시 인증해야 했습니다. 로그인 엔드포인트는 5분마다 최대 1개의 요청으로 제한되는 반면, 업데이트 엔드포인트는 동일한 5분 기간 내에 더 자주 호출되어야 했기 때문에 문제가 발생했습니다. 로직이 올바르게 작동하는 것이 중요했지만 로그인 엔드포인트가 5분 간격 내에 가끔 여러 번 트리거되어 업데이트 엔드포인트가 작동하지 않게 되었습니다. 모든 것이 예상대로 작동하는 경우도 있었지만, 이러한 간헐적인 버그는 처음에는 보안에 대한 잘못된 인식을 심어 시스템이 제대로 작동하는 것처럼 보일 수 있어 더욱 심각한 위험을 초래했습니다._
이 예를 설명하기 위해 다음 서비스가 포함된 매우 기본적인 NestJS 앱을 사용하고 있습니다.
- AppService: 때로는 작동하고 때로는 작동하지 않는 나쁜 버전과 항상 제대로 작동하도록 보장되는 좋은 버전이라는 두 가지 변형을 시뮬레이션하는 컨트롤러 역할을 합니다.
- BadAuthenticationService: 잘못된 버전에 대한 구현
- GoodAuthenticationService: 좋은 버전을 구현합니다.
- AbstractAuthenticationService: GoodAuthenticationService와 BadAuthenticationService 간의 공유 상태를 유지하는 역할을 담당하는 클래스입니다.
- LoginThrottleService: 백엔드 서비스에 대한 로그인 엔드포인트의 조절 메커니즘을 시뮬레이션하는 클래스입니다.
- MockHttpService: HTTP 요청을 시뮬레이션하는 데 도움이 되는 클래스
- MockAwsCloudwatchApiService: AWS CloudWatch 로깅 시스템에 대한 API 호출을 시뮬레이션합니다.
여기서 모든 클래스의 코드를 표시하지는 않겠습니다. GitHub 저장소에서 직접 찾을 수 있습니다. 대신, 로직이 올바르게 작동하기 위해 무엇을 변경해야 하는지에 대해 구체적으로 집중하겠습니다.
나쁜 접근 방식:
@Injectable()
export class BadAuthenticationService extends AbstractAuthenticationService {
async loginToBackendService() {
this.loginInProgress = true; // this is BAD, we are inside a promise, it's asynchronous. it's not synchronous, javascript can execute it whenever it wants
try {
const response = await firstValueFrom(
this.httpService.post(`https://backend-service.com/login`, {
password: 'password',
}),
);
return response;
} finally {
this.loginInProgress = false;
}
}
async sendProtectedRequest(route: string, data?: unknown) {
if (!this.accessToken) {
if (this.loginInProgress) {
await new Promise((resolve) => setTimeout(resolve, 1000));
return this.sendProtectedRequest(route, data);
}
try {
await this.awsCloudwatchApiService.logLoginCallAttempt();
const { data: loginData } = await this.loginToBackendService();
this.accessToken = loginData.accessToken;
} catch (e: any) {
console.error(e?.response?.data);
throw e;
}
}
try {
const response = await firstValueFrom(
this.httpService.post(`https://backend-service.com${route}`, data, {
headers: {
Authorization: `Bearer ${this.accessToken}`,
},
}),
);
return response;
} catch (e: any) {
if (e?.response?.data?.statusCode === 401) {
this.accessToken = null;
return this.sendProtectedRequest(route, data);
}
console.error(e?.response?.data);
throw e;
}
}
}
이것이 나쁜 접근 방식인 이유:
BadAuthenticationService에서 loginToBackendService 메소드는 로그인 요청을 시작할 때 this.loginInProgress를 true로 설정합니다. 그러나 이 방법은 비동기식이므로 로그인 상태가 즉시 업데이트된다는 보장은 없습니다. 이로 인해 제한 한도 내에서 로그인 엔드포인트에 대한 여러 동시 호출이 발생할 수 있습니다.
sendProtectedRequest는 액세스 토큰이 없음을 감지하면 로그인이 진행 중인지 확인합니다. 그렇다면 함수는 1초 동안 기다린 후 다시 시도합니다. 그러나 이 시간 동안 다른 요청이 들어오면 추가 로그인 시도가 발생할 수 있습니다. 이로 인해 로그인 엔드포인트에 대한 여러 호출이 발생할 수 있으며, 이는 1분마다 한 번의 호출만 허용하도록 제한됩니다. 결과적으로 업데이트 엔드포인트가 간헐적으로 실패하여 시스템이 때때로 제대로 작동하는 것처럼 보일 때 예측할 수 없는 동작과 잘못된 보안 인식을 유발할 수 있습니다.
요약하면 문제는 비동기 작업을 부적절하게 처리하는 데 있으며, 이는 애플리케이션의 논리를 깨뜨릴 수 있는 잠재적인 경쟁 조건으로 이어집니다.
좋은 접근 방식:
@Injectable()
export class GoodAuthenticationService extends AbstractAuthenticationService {
async loginToBackendService() {
try {
const response = await firstValueFrom(
this.httpService.post(`https://backend-service.com/login`, {
password: 'password',
}),
);
return response;
} finally {
this.loginInProgress = false;
}
}
async sendProtectedRequest(route: string, data?: unknown) {
if (!this.accessToken) {
if (this.loginInProgress) {
await new Promise((resolve) => setTimeout(resolve, 1000));
return this.sendProtectedRequest(route, data);
}
// Critical: Set the flag before ANY promise call
this.loginInProgress = true;
try {
await this.awsCloudwatchApiService.logLoginCallAttempt();
const { data: loginData } = await this.loginToBackendService();
this.accessToken = loginData.accessToken;
} catch (e: any) {
console.error(e?.response?.data);
throw e;
}
}
try {
const response = await firstValueFrom(
this.httpService.post(`https://backend-service.com${route}`, data, {
headers: {
Authorization: `Bearer ${this.accessToken}`,
},
}),
);
return response;
} catch (e: any) {
if (e?.response?.data?.statusCode === 401) {
this.accessToken = null;
return this.sendProtectedRequest(route, data);
}
console.error(e?.response?.data);
throw e;
}
}
}
이것이 좋은 접근 방식인 이유:
GoodAuthenticationService에서는 로그인 로직을 효율적으로 처리할 수 있도록 loginToBackendService 메소드가 구성되어 있습니다. 주요 개선 사항은 loginInProgress 플래그 관리입니다. 액세스 토큰이 없음을 확인한 이후 및 비동기 작업이 시작되기 이전으로 설정됩니다. 이렇게 하면 로그인 시도가 시작되면 다른 로그인 호출이 동시에 이루어질 수 없으므로 제한된 로그인 엔드포인트에 대한 여러 요청을 효과적으로 방지할 수 있습니다.
데모 지침
저장소를 복제합니다.
@Injectable()
export class BadAuthenticationService extends AbstractAuthenticationService {
async loginToBackendService() {
this.loginInProgress = true; // this is BAD, we are inside a promise, it's asynchronous. it's not synchronous, javascript can execute it whenever it wants
try {
const response = await firstValueFrom(
this.httpService.post(`https://backend-service.com/login`, {
password: 'password',
}),
);
return response;
} finally {
this.loginInProgress = false;
}
}
async sendProtectedRequest(route: string, data?: unknown) {
if (!this.accessToken) {
if (this.loginInProgress) {
await new Promise((resolve) => setTimeout(resolve, 1000));
return this.sendProtectedRequest(route, data);
}
try {
await this.awsCloudwatchApiService.logLoginCallAttempt();
const { data: loginData } = await this.loginToBackendService();
this.accessToken = loginData.accessToken;
} catch (e: any) {
console.error(e?.response?.data);
throw e;
}
}
try {
const response = await firstValueFrom(
this.httpService.post(`https://backend-service.com${route}`, data, {
headers: {
Authorization: `Bearer ${this.accessToken}`,
},
}),
);
return response;
} catch (e: any) {
if (e?.response?.data?.statusCode === 401) {
this.accessToken = null;
return this.sendProtectedRequest(route, data);
}
console.error(e?.response?.data);
throw e;
}
}
}
필요한 종속성을 설치합니다.
@Injectable()
export class GoodAuthenticationService extends AbstractAuthenticationService {
async loginToBackendService() {
try {
const response = await firstValueFrom(
this.httpService.post(`https://backend-service.com/login`, {
password: 'password',
}),
);
return response;
} finally {
this.loginInProgress = false;
}
}
async sendProtectedRequest(route: string, data?: unknown) {
if (!this.accessToken) {
if (this.loginInProgress) {
await new Promise((resolve) => setTimeout(resolve, 1000));
return this.sendProtectedRequest(route, data);
}
// Critical: Set the flag before ANY promise call
this.loginInProgress = true;
try {
await this.awsCloudwatchApiService.logLoginCallAttempt();
const { data: loginData } = await this.loginToBackendService();
this.accessToken = loginData.accessToken;
} catch (e: any) {
console.error(e?.response?.data);
throw e;
}
}
try {
const response = await firstValueFrom(
this.httpService.post(`https://backend-service.com${route}`, data, {
headers: {
Authorization: `Bearer ${this.accessToken}`,
},
}),
);
return response;
} catch (e: any) {
if (e?.response?.data?.statusCode === 401) {
this.accessToken = null;
return this.sendProtectedRequest(route, data);
}
console.error(e?.response?.data);
throw e;
}
}
}
애플리케이션을 실행합니다:
git clone https://github.com/zenstok/nestjs-singlethread-trap.git
요청 시뮬레이션:
- 잘못된 버전으로 두 가지 요청을 시뮬레이션하려면 다음을 호출하세요.
cd nestjs-singlethread-trap npm install
좋은 버전으로 두 가지 요청을 시뮬레이션하려면 다음을 호출하세요.
npm run start
결론: JavaScript의 단일 스레드 함정 피하기
JavaScript는 단일 스레드이지만 Promise 및 이벤트 루프를 사용하여 HTTP 요청과 같은 비동기 작업을 효율적으로 처리할 수 있습니다. 그러나 특히 공유 리소스(예: 토큰)와 관련된 시나리오에서 이러한 약속을 부적절하게 처리하면 경쟁 조건 및 중복 작업이 발생할 수 있습니다.
핵심은 이러한 함정을 피하기 위해 로그인과 같은 비동기 작업을 동기화하는 것입니다. JavaScript가 뒤에서 멀티태스킹을 수행하는 경우에도 항상 코드가 진행 중인 프로세스를 인식하고 적절한 순서를 보장하는 방식으로 요청을 처리하는지 확인하세요.
아직 Rabbit Byte Club에 가입하지 않으셨다면 지금이 소프트웨어 애호가, 기술 창업자, 비기술 창업자로 구성된 활발한 커뮤니티에 참여할 수 있는 기회입니다. 우리는 함께 지식을 공유하고, 서로에게서 배우며, 차세대 대형 스타트업을 구축할 준비를 합니다. 지금 우리와 함께 혁신과 성장을 향한 흥미진진한 여정에 참여해 보세요!
위 내용은 JavaScript에서 단일 스레드 함정을 피하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
Python vs. JavaScript : 커뮤니티, 라이브러리 및 리소스Apr 15, 2025 am 12:16 AMPython과 JavaScript는 커뮤니티, 라이브러리 및 리소스 측면에서 고유 한 장점과 단점이 있습니다. 1) Python 커뮤니티는 친절하고 초보자에게 적합하지만 프론트 엔드 개발 리소스는 JavaScript만큼 풍부하지 않습니다. 2) Python은 데이터 과학 및 기계 학습 라이브러리에서 강력하며 JavaScript는 프론트 엔드 개발 라이브러리 및 프레임 워크에서 더 좋습니다. 3) 둘 다 풍부한 학습 리소스를 가지고 있지만 Python은 공식 문서로 시작하는 데 적합하지만 JavaScript는 MDNWebDocs에서 더 좋습니다. 선택은 프로젝트 요구와 개인적인 이익을 기반으로해야합니다.
C/C에서 JavaScript까지 : 모든 것이 어떻게 작동하는지Apr 14, 2025 am 12:05 AMC/C에서 JavaScript로 전환하려면 동적 타이핑, 쓰레기 수집 및 비동기 프로그래밍으로 적응해야합니다. 1) C/C는 수동 메모리 관리가 필요한 정적으로 입력 한 언어이며 JavaScript는 동적으로 입력하고 쓰레기 수집이 자동으로 처리됩니다. 2) C/C를 기계 코드로 컴파일 해야하는 반면 JavaScript는 해석 된 언어입니다. 3) JavaScript는 폐쇄, 프로토 타입 체인 및 약속과 같은 개념을 소개하여 유연성과 비동기 프로그래밍 기능을 향상시킵니다.
JavaScript 엔진 : 구현 비교Apr 13, 2025 am 12:05 AM각각의 엔진의 구현 원리 및 최적화 전략이 다르기 때문에 JavaScript 엔진은 JavaScript 코드를 구문 분석하고 실행할 때 다른 영향을 미칩니다. 1. 어휘 분석 : 소스 코드를 어휘 단위로 변환합니다. 2. 문법 분석 : 추상 구문 트리를 생성합니다. 3. 최적화 및 컴파일 : JIT 컴파일러를 통해 기계 코드를 생성합니다. 4. 실행 : 기계 코드를 실행하십시오. V8 엔진은 즉각적인 컴파일 및 숨겨진 클래스를 통해 최적화하여 Spidermonkey는 유형 추론 시스템을 사용하여 동일한 코드에서 성능이 다른 성능을 제공합니다.
브라우저 너머 : 실제 세계의 JavaScriptApr 12, 2025 am 12:06 AM실제 세계에서 JavaScript의 응용 프로그램에는 서버 측 프로그래밍, 모바일 애플리케이션 개발 및 사물 인터넷 제어가 포함됩니다. 1. 서버 측 프로그래밍은 Node.js를 통해 실현되며 동시 요청 처리에 적합합니다. 2. 모바일 애플리케이션 개발은 재교육을 통해 수행되며 크로스 플랫폼 배포를 지원합니다. 3. Johnny-Five 라이브러리를 통한 IoT 장치 제어에 사용되며 하드웨어 상호 작용에 적합합니다.
Next.js (백엔드 통합)로 멀티 테넌트 SAAS 애플리케이션 구축Apr 11, 2025 am 08:23 AM일상적인 기술 도구를 사용하여 기능적 다중 테넌트 SaaS 응용 프로그램 (Edtech 앱)을 구축했으며 동일한 작업을 수행 할 수 있습니다. 먼저, 다중 테넌트 SaaS 응용 프로그램은 무엇입니까? 멀티 테넌트 SAAS 응용 프로그램은 노래에서 여러 고객에게 서비스를 제공 할 수 있습니다.
Next.js (Frontend Integration)를 사용하여 멀티 테넌트 SaaS 응용 프로그램을 구축하는 방법Apr 11, 2025 am 08:22 AM이 기사에서는 Contrim에 의해 확보 된 백엔드와의 프론트 엔드 통합을 보여 주며 Next.js를 사용하여 기능적인 Edtech SaaS 응용 프로그램을 구축합니다. Frontend는 UI 가시성을 제어하기 위해 사용자 권한을 가져오고 API가 역할 기반을 준수하도록합니다.
JavaScript : 웹 언어의 다양성 탐색Apr 11, 2025 am 12:01 AMJavaScript는 현대 웹 개발의 핵심 언어이며 다양성과 유연성에 널리 사용됩니다. 1) 프론트 엔드 개발 : DOM 운영 및 최신 프레임 워크 (예 : React, Vue.js, Angular)를 통해 동적 웹 페이지 및 단일 페이지 응용 프로그램을 구축합니다. 2) 서버 측 개발 : Node.js는 비 차단 I/O 모델을 사용하여 높은 동시성 및 실시간 응용 프로그램을 처리합니다. 3) 모바일 및 데스크탑 애플리케이션 개발 : 크로스 플랫폼 개발은 개발 효율을 향상시키기 위해 반응 및 전자를 통해 실현됩니다.
JavaScript의 진화 : 현재 동향과 미래 전망Apr 10, 2025 am 09:33 AMJavaScript의 최신 트렌드에는 Typescript의 Rise, 현대 프레임 워크 및 라이브러리의 인기 및 WebAssembly의 적용이 포함됩니다. 향후 전망은보다 강력한 유형 시스템, 서버 측 JavaScript 개발, 인공 지능 및 기계 학습의 확장, IoT 및 Edge 컴퓨팅의 잠재력을 포함합니다.
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
안전한 시험 브라우저
안전한 시험 브라우저는 온라인 시험을 안전하게 치르기 위한 보안 브라우저 환경입니다. 이 소프트웨어는 모든 컴퓨터를 안전한 워크스테이션으로 바꿔줍니다. 이는 모든 유틸리티에 대한 액세스를 제어하고 학생들이 승인되지 않은 리소스를 사용하는 것을 방지합니다.
에디트플러스 중국어 크랙 버전
작은 크기, 구문 강조, 코드 프롬프트 기능을 지원하지 않음
DVWA
DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는
드림위버 CS6
시각적 웹 개발 도구
Eclipse용 SAP NetWeaver 서버 어댑터
Eclipse를 SAP NetWeaver 애플리케이션 서버와 통합합니다.
