前言

最近遇到一起由objc_setAssociatedObject和objc_getAssociatedObject引發的Crash事故，特此分享。

正文

問題背景

項目中已經存在某個Catagory，會往一個第三方庫的類中掛載一個屬性，用下面代碼的TestCatagory中ssShowTime屬性來表示。

@interface ViewController(TestCategory)

@property (nonatomic, assign) long ssShowTime;

@end

具體的實現是用objc_setAssociatedObject和objc_getAssociatedObject方法。

@implementation ViewController (TestCategory)

- (void)setSsShowTime:(long)ssShowTime {
    NSNumber *number = @(ssShowTime);
    objc_setAssociatedObject(self, @selector(ssShowTime), number, OBJC_ASSOCIATION_ASSIGN);
}

- (long)ssShowTime {
    NSNumber *number = objc_getAssociatedObject(self, @selector(ssShowTime));
    return [number longValue];
}

@end

該方法已經跑了好幾個版本，沒有出現過任何問題。
后面在此基礎上又新增一個掛載屬性，我們用ssLocalDesc來表示。

@property (nonatomic, strong) NSString *ssLocalDesc;

- (void)setSsLocalDesc:(NSString *)ssLocalDesc {
    objc_setAssociatedObject(self, @selector(ssLocalDesc), ssLocalDesc, OBJC_ASSOCIATION_ASSIGN);
}

- (NSString *)ssLocalDesc {
    NSString *ret = objc_getAssociatedObject(self, @selector(ssLocalDesc));
    return ret;
}

ssLocalDesc屬性會用來存一些描述，比如說用常量，又或者拼接起來的字符串，如下：

    self.ssLocalDesc = @"123";
    // 或者
    int index = 1;
    self.ssLocalDesc = [NSString stringWithFormat:@"Tag_%d", index];

一切都正常，直到下面這段代碼出現：

    self.ssLocalDesc = [NSString stringWithFormat:@"Tag_%d", (int)time(NULL)];

這個賦值語句執行完之后，再訪問self.ssLocalDesc屬性就會產生Crash！

問題回溯

當問題出現之后，我們來看看是犯了哪些錯誤，才會導致問題的出現：
ssShowTime 屬性雖然是long，但是內部實現的時候還是通過NSNumber類來實現，所以這里不應該使用OBJC_ASSOCIATION_ASSIGN；

typedef OBJC_ENUM(uintptr_t, objc_AssociationPolicy) {
    OBJC_ASSOCIATION_ASSIGN = 0,           /**< Specifies a weak reference to the associated object. */
    OBJC_ASSOCIATION_RETAIN_NONATOMIC = 1, /**< Specifies a strong reference to the associated object. 
                                            *   The association is not made atomically. */
    OBJC_ASSOCIATION_COPY_NONATOMIC = 3,   /**< Specifies that the associated object is copied. 
                                            *   The association is not made atomically. */
    OBJC_ASSOCIATION_RETAIN = 01401,       /**< Specifies a strong reference to the associated object.
                                            *   The association is made atomically. */
    OBJC_ASSOCIATION_COPY = 01403          /**< Specifies that the associated object is copied.
                                            *   The association is made atomically. */
};

這里更合適的做法是使用OBJC_ASSOCIATION_RETAIN或者OBJC_ASSOCIATION_RETAIN_NONATOMIC。

ssLocalDesc屬性是字符串，字符串通常使用strong或者copy，那么這里使用OBJC_ASSOCIATION_ASSIGN本身就是錯誤的。
OBJC_ASSOCIATION_ASSIGN通常是為了避免循環引用而添加，不會對引用計數產生變化。

問題延伸

當解決完這個問題之后，我們發現crash出現之前，有幾個延伸問題：
問題1：為什么ssShowTime這個屬性在運行過程中不會Crash？
我們知道Crash是由于OBJC_ASSOCIATION_ASSIGN不會引用計數加1，導致對象被釋放出現野指針的情況。那么我們在number對象掛載之前，看下對象的引用計數。

- (void)setSsShowTime:(long)ssShowTime {
    NSNumber *number = @(ssShowTime);
    objc_setAssociatedObject(self, @selector(ssShowTime), number, OBJC_ASSOCIATION_ASSIGN);
}

結果非常意外，引用計數的值非常大。

(lldb) p CFGetRetainCount(number)
(CFIndex) $0 = 9223372036854775807

如果排除掉引用計數出錯的可能，我們可以理解為什么number對象不會被釋放。

問題2：為什么ssLocalDesc這個屬性在測試不會Crash，而在線上運行會出現Crash？
針對ssLocalDesc屬性，我構造了三種情況：

• 情況1，普通常量字符串；

    self.ssLocalDesc = @"123";

結果如下圖，引用計數也很大；字符串類型為常量字符串， 隨著App運行就創建，退出時才銷毀。

• 情況2，測試時較短的字符串；

    int index = 1;
    self.ssLocalDesc = [NSString stringWithFormat:@"Tag_%d", index];

結果如下圖，引用計數仍很大；字符串類型為TaggedPointerString，這是標簽指針類型的字符串，把指針當做字符串對象來使用；

• 情況3，上線后較長的字符串；

    self.ssLocalDesc = [NSString stringWithFormat:@"Tag_%d", (int)time(NULL)];

結果如下圖，引用計數為正常；字符串類型是普通字符串，這是我們最常見的字符串類型。這個類型的字符串，在下面訪問ssLocalDesc屬性時會發生Crash。

再回到問題1，我們知道NSNumber也使用類似的標簽指針（Tagged Pointer）。當數字較小的時候，NSNumber就不是真正的對象，而是一個標簽指針，并不會像對象一樣走銷毀釋放的流程。
驗證方法：使用一個較大的數字來初始化。比如說設置ssShowTime為NSIntegerMax，此時引用計數恢復正常范圍。

相關知識——Tagged Pointer

Tagged pointer：是用于提高性能并減少內存使用的技術。原理是利用內存存儲中的內存對齊，對象的地址通常是指針大小的倍數。iOS的設備中大部分都是64位的機器，所以指針通常是以64 位整型存儲。
由于內存對齊，指針中會有一些位總會為零。為了高效利用這些空間，iOS把對象指針的最低有效位為1時，認為該指針是 tagged pointer（標簽指針）。tagged pointer最低位中的前3位不再被當作isa指針的地址，而是表示一個特殊的tagged class表的索引值；這個索引值用來查找tagged pointer所對應的類，剩余的60位則會被直接使用。

總結

標簽指針的具體概念，在附錄兩篇文章已經描述得很清晰，這里就不再贅述。
這個事故還有很多隱藏因素導致，比如說測試環境與線上環境不一致，比如說上線流程沒有按照規范執行，比如說代碼規范沒有遵守，比如說review流程沒有發現問題等等，針對這么多因素，其中有兩步是很重要的：
1、保證測試環境和線上環境一致；
2、按照上線流程進行規范操作；

為了能在測試階段發現問題，還是把測試環境和線上環境調成完全一樣的好；
從技術的角度來分析，只要工程設置完全一致，就可以實現客戶端的測試環境=線上環境。

附錄

tagged pointer
【譯】采用Tagged Pointer的字符串