一次标签指针（Tagged Pointer）致使的事故

前言

最近遇到一块儿由objc_setAssociatedObject和objc_getAssociatedObject引起的线上Crash事故，在痛心疾首的同时也以为颇有意思，特此分享。

正文

问题背景

项目中已经存在某个Catagory，会往一个第三方库的类中挂载一个属性，用下面代码的TestCatagory中ssShowTime属性来表示。

@interface ViewController(TestCategory)

@property (nonatomic, assign) long ssShowTime;

@end
复制代码

具体的实现是用objc_setAssociatedObject和objc_getAssociatedObject方法。

@implementation ViewController (TestCategory)

- (void)setSsShowTime:(long)ssShowTime {
    NSNumber *number = @(ssShowTime);
    objc_setAssociatedObject(self, @selector(ssShowTime), number, OBJC_ASSOCIATION_ASSIGN);
}

- (long)ssShowTime {
    NSNumber *number = objc_getAssociatedObject(self, @selector(ssShowTime));
    return [number longValue];
}

@end
复制代码

该方法已经跑了好几个版本，没有出现过任何问题。 后面在此基础上又新增一个挂载属性，咱们用ssLocalDesc来表示。

@property (nonatomic, strong) NSString *ssLocalDesc;

- (void)setSsLocalDesc:(NSString *)ssLocalDesc {
    objc_setAssociatedObject(self, @selector(ssLocalDesc), ssLocalDesc, OBJC_ASSOCIATION_ASSIGN);
}

- (NSString *)ssLocalDesc {
    NSString *ret = objc_getAssociatedObject(self, @selector(ssLocalDesc));
    return ret;
}
复制代码

ssLocalDesc属性会用来存一些描述，好比说用常量，又或者拼接起来的字符串，以下：

self.ssLocalDesc = @"123";
    // 或者
    int index = 1;
    self.ssLocalDesc = [NSString stringWithFormat:@"Tag_%d", index];
复制代码

一切都正常，直到下面这段代码出现：

self.ssLocalDesc = [NSString stringWithFormat:@"Tag_%d", (int)time(NULL)];
复制代码

这个赋值语句执行完以后，再访问self.ssLocalDesc属性就会产生Crash！

问题回溯

当问题出现以后，咱们来看看是犯了哪些错误，才会致使问题的出现： ssShowTime 属性虽然是long，可是内部实现的时候仍是经过NSNumber类来实现，因此这里不该该使用OBJC_ASSOCIATION_ASSIGN；

typedef OBJC_ENUM(uintptr_t, objc_AssociationPolicy) {
    OBJC_ASSOCIATION_ASSIGN = 0,           /**< Specifies a weak reference to the associated object. */
    OBJC_ASSOCIATION_RETAIN_NONATOMIC = 1, /**< Specifies a strong reference to the associated object. 
                                            *   The association is not made atomically. */
    OBJC_ASSOCIATION_COPY_NONATOMIC = 3,   /**< Specifies that the associated object is copied. 
                                            *   The association is not made atomically. */
    OBJC_ASSOCIATION_RETAIN = 01401,       /**< Specifies a strong reference to the associated object.
                                            *   The association is made atomically. */
    OBJC_ASSOCIATION_COPY = 01403          /**< Specifies that the associated object is copied.
                                            *   The association is made atomically. */
};
复制代码

这里更合适的作法是使用OBJC_ASSOCIATION_RETAIN或者OBJC_ASSOCIATION_RETAIN_NONATOMIC。

ssLocalDesc属性是字符串，字符串一般使用strong或者copy，那么这里使用OBJC_ASSOCIATION_ASSIGN自己就是错误的。 OBJC_ASSOCIATION_ASSIGN一般是为了不循环引用而添加，不会对引用计数产生变化。

问题延伸

当解决完这个问题以后，咱们发现crash出现以前，有几个延伸问题： 问题1：为何ssShowTime这个属性在运行过程当中不会Crash？ 咱们知道Crash是因为OBJC_ASSOCIATION_ASSIGN不会引用计数加1，致使对象被释放出现野指针的状况。那么咱们在number对象挂载以前，看下对象的引用计数。

- (void)setSsShowTime:(long)ssShowTime {
    NSNumber *number = @(ssShowTime);
    objc_setAssociatedObject(self, @selector(ssShowTime), number, OBJC_ASSOCIATION_ASSIGN);
}
复制代码

结果很是意外，引用计数的值很是大。

(lldb) p CFGetRetainCount(number)
(CFIndex) $0 = 9223372036854775807
复制代码

若是排除掉引用计数出错的可能，咱们能够理解为何number对象不会被释放。

问题2：为何ssLocalDesc这个属性在测试不会Crash，而在线上运行会出现Crash？ 针对ssLocalDesc属性，我构造了三种状况：

• 状况1，普一般量字符串；

self.ssLocalDesc = @"123";
复制代码

结果以下图，引用计数也很大；字符串类型为常量字符串， 随着App运行就建立，退出时才销毁。

• 状况2，测试时较短的字符串；

int index = 1;
    self.ssLocalDesc = [NSString stringWithFormat:@"Tag_%d", index];
复制代码

结果以下图，引用计数仍很大；字符串类型为TaggedPointerString，这是标签指针类型的字符串，把指针当作字符串对象来使用；

• 状况3，上线后较长的字符串；

self.ssLocalDesc = [NSString stringWithFormat:@"Tag_%d", (int)time(NULL)];
复制代码

结果以下图，引用计数为正常；字符串类型是普通字符串，这是咱们最多见的字符串类型。这个类型的字符串，在下面访问ssLocalDesc属性时会发生Crash。

再回到问题1，咱们知道NSNumber也使用相似的标签指针（Tagged Pointer）。当数字较小的时候，NSNumber就不是真正的对象，而是一个标签指针，并不会像对象同样走销毁释放的流程。 验证方法：使用一个较大的数字来初始化。好比说设置ssShowTime为NSIntegerMax，此时引用计数恢复正常范围。

相关知识——Tagged Pointer

Tagged pointer：是用于提升性能并减小内存使用的技术。原理是利用内存存储中的内存对齐，对象的地址一般是指针大小的倍数。iOS的设备中大部分都是64位的机器，因此指针一般是以64 位整型存储。 因为内存对齐，指针中会有一些位总会为零。为了高效利用这些空间，iOS把对象指针的最低有效位为1时，认为该指针是 tagged pointer（标签指针）。tagged pointer最低位中的前3位再也不被看成isa指针的地址，而是表示一个特殊的tagged class表的索引值；这个索引值用来查找tagged pointer所对应的类，剩余的60位则会被直接使用。

总结

标签指针的具体概念，在附录两篇文章已经描述得很清晰，这里就再也不赘述。 这个事故还有不少隐藏因素致使，好比说测试环境与线上环境不一致，好比说上线流程没有按照规范执行，好比说代码规范没有遵照，好比说review流程没有发现问题等等，针对这么多因素，其中有两步是很重要的： 一、保证测试环境和线上环境一致； 二、按照上线流程进行规范操做；

为了能在测试阶段发现问题，仍是把测试环境和线上环境调成彻底同样的好； 从技术的角度来分析，只要工程设置彻底一致，就能够实现客户端的测试环境=线上环境。

附录

tagged pointer

【译】采用Tagged Pointer的字符串