由线程安全引起的一个有关Realm问题

我的项目里需要给Tomcat写一个Realm，大家都知道Realm接口里简化如下:

public interface Realm {
    public Principal authenticate(String username, String credentials);
    ...
    public SecurityConstraint [] findSecurityConstraints(Request request, Context context);
    ...
}

为了节省篇幅，把Realm接口简化了一下。由于项目需要必须要在authenticate方法里使用request,而通过摸索在Realm里只有findSecurityConstraints方法里能得到这个request.于是我就写了Realm如下:

public class MyRealm extends JAASRealm {
    protected HttpServletRequest request;
    public Principal authenticate(String username, String credentials){
    //在这里使用request。
    }
    ...
    public SecurityConstraint [] findSecurityConstraints(Request request, Context context){
        this.request = request;
        return super.findSecurityConstraints(request, context);
    }
}

这样测试"良好",似乎是可行的。功能也都能过。

但是高手一看就会发现问题，因为request对象是变化的，并且Realm在整个Tomcat里只有一个实例(至少在只配置一个Realm的时候是这样的，配置多个Realm我还没有试)。这样就导致了request方法对多线程不安全，甚至混乱。

请高手帮着看一下:

1.是不是有其他更好的办法在Realm访问request对象?

2.如果第一个问题是否定的，看有没有办法使这个request安全的被访问?(我知道用ThreadLocal来解决，还有没有其他办法)

请大家帮忙了。谢谢。