为什么在Django中使用线程局部变量不好？

这是一个关于如何创建与最新的Django 1.10兼容的TLS中间件的简单示例：

# coding: utf-8
# Copyright (c) Alexandre Syenchuk (alexpirine), 2016

try:
    from threading import local
except ImportError:
    from django.utils._threading_local import local

_thread_locals = local()

def get_current_request():
    return getattr(_thread_locals, 'request', None)

def get_current_user():
    request = get_current_request()
    if request:
        return getattr(request, 'user', None)

class ThreadLocalMiddleware(object):
    def __init__(self, get_response):
        self.get_response = get_response

    def __call__(self, request):
        _thread_locals.request = request
        return self.get_response(request)

虽然你可以把不同用户的数据混合在一起，但最好避免使用线程局部变量，因为它们会隐藏一些依赖关系。如果你把参数传给一个方法，你能看到并知道自己传了什么。但是线程局部变量就像是后台的一个隐藏通道，你可能会发现某些情况下这个方法的表现不太正常。

确实有一些情况使用线程局部变量是个不错的选择，但应该很少使用，并且要非常小心！

我完全不同意这个观点。TLS（线程局部存储）非常有用。使用它的时候要小心，就像使用全局变量时也要小心一样；但是说根本不应该使用TLS，这和说全局变量永远不能用是一样荒谬的。

举个例子，我会把当前活跃的请求存储在TLS中。这样我就可以在我的日志类中访问这个请求，而不需要在每一个接口中都传递这个请求——包括那些根本不关心Django的接口。这样我可以在代码的任何地方记录日志；日志记录器会把信息输出到数据库表中，如果在记录日志的时候有请求正在进行，它会记录像活跃用户和请求内容这样的信息。

如果你不想让一个线程修改另一个线程的TLS数据，那就设置你的TLS来禁止这种操作，这可能需要使用一个原生的TLS类。不过我觉得这个理由并不太说得通；如果攻击者能够在你的后端执行任意的Python代码，你的系统已经严重被攻破了——比如说，他可以修改任何东西，让它在之后以不同的用户身份运行。

显然，你会想在请求结束时清除任何TLS数据；在Django中，这意味着在中间件类的process_response和process_exception中清除它。