聊聊fastjson反序列化的那些坑

最新推荐文章于 2025-04-18 11:03:00 发布
最新推荐文章于 2025-04-18 11:03:00 发布
阅读量736 收藏 11
点赞数 20
文章标签: 前端 javascript 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2501_90425706/article/details/145398108
版权

Money money = new Money();

money.setMoney(this.money);

money.setLocation(“China”);

return money;

}

public void setMoney(long money){

this.money = money;

}

public Date getBirthday(){

return birthday;

}

public void setBirthDay(Date birthday){

this.birthday = birthday;

}

}

@Data

public class Money{

private Long money;

private String Location;

}

当我们用fastjson序列化User类的对象后,会得到如下字符串:

{

“birthday”:1639129158598,

“money”:{

“location”:“China”,

“money”:10

}

}

而反序列化,则会报错:

b5d5d623bd87a545d1caa82ecb7fea21.png

原因是setter需要的类型是Long,但无法用Long的解析器来解析Money格式的数据。

  没有无参构造函数

为了解决1中的问题,我将User对象反序列化为JSONObject,然后修改对应的字段为Long类型,然后进行反序列化。会发现,依然报错:

78ab39b0db6d9ca82992d1ad4dfca602.png

  Gson与FastJson对Date类的序列化/反序列化方式不同

为了解决2中的问题,决定将money字段改为Long类型后,转成字符串给Gson进行反序列化。原因是Gson的所有反序列化行为,都是基于反射做的,实际这也能避免fastjson存在的许多问题。然后发现,很不幸地,还是报错:

b8ae491a1707556136a2bddba3e4315f.png

原因是Gson与FastJson对Date类的序列化/反序列化方式不同,fastjson会将Date序列化为时间戳。

  类中存在接口类

阅读fastjson代码com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer#createInstance可以看到,对于接口类,它是新建的一个代理来做反序列化的:

ef4e63b111637036695bccae609a219a.png

这会存在一个问题,就是使用像hessian这种序列化/反序列化的远程调用时,这个代理对象在远端并无法被成功反序列化,从而导致远程调用异常。同时,一些基于子类类型做判断的逻辑也无法进行了。

解法

  getter与setter类型不同

可以将json字符串解析为JSONObject,然后再操作修改对应位置的值为其真实值,最后调用JSON.toJavaObject反序列化为对应类。

  没有无参构造函数

可以用Gson进行反序列化。Gson的所有反序列化行为,都是基于反射做的,实际这也能避免fastjson存在的许多问题。

  Gson与FastJson对Date类的序列化/反序列化方式不同

Gson可以添加对某种类的解析方法,这里使用如下方式添加Date类的定制解析方法,并创建Gson对象:

Gson gson = new GsonBuilder().registerTypeAdapter(

Date.class, new TypeAdapter(){

@Override

public void write(JsonWriter out, Date value) throws IOException {

if (value == null){

out.nullValue();

}else{

out.value(value.getTime());

}

}

@Override

public Date read(JsonReader in) throws IOException {

if (in != null){

return new Date(in.nextLong());

}else{

return null;

}

}

}).create();

  类中存在接口类

fastjson可以添加类的自定义反序列化方法:实现ObjectDeserializer接口,然后调用ParserConfig.getGlobalInstance().putDeserializer(Type, ObjectDeserializer)即可。

但是我们来看ObjectDeserializer接口需要实现的方法:

7355b6523be3d3752b6c69f1de5fda19.png

会发现,理解它并用它来反序列化自定义复杂类型,学习成本是比较高的。

通过阅读代码,可以看到,fastjson中对象的反序列化一般都是使用的com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer,它是继承ObjectDeserializer的,并且已经实现了几乎所有能力,所以实际上,我们继承它,然后重写其中的某些方法即可。这里我给出如下所示的重写方法并放进ParserConfig.getGlobalInstance()中:

ParserConfig.getGlobalInstance().putDeserializer(clazz,

new JavaBeanDeserializer(ParserConfig.getGlobalInstance(), clazz) {

@Override

public T deserialze(DefaultJSONParser parser, Type type, Object fieldName){

//解析为JSONObject,方便业务使用并反序列化为对应的子类

JSONObject jsonObj = this.deserialze(parser, JSONObject.class, fieldName, 0);

//业务根据JSONObject创建对应子类对象逻辑

T obj = …

return obj;

}

@Override

public Object createInstance(Map<String, Object> map, ParserConfig config) //

throws IllegalArgumentException {

JSONObject jsonObj = null;

if (map instanceof JSONObject){

jsonObj = (JSONObject)map;

}else if(map != null){

jsonObj = new JSONObject(map);

}

//业务根据JSONObject创建对应子类对象逻辑

T obj = …

return obj;

}

});

这里重写了两个方法,第一个deserialze是ObjectDeserializer的接口方法,这里利用了JavaBeanDeserializer现有能力,将它转成JSONObject来给业务使用,学习成本会大大降低。

第二个方法是createInstance(Map<String, Object> map, ParserConfig config),它的场景是,如果要反序列化的类不是接口类,而是有子类的父类(同样需要根据成员来判断应该反序列化为哪种具体的子类),并且此时是用JSON.toJavaObject反序列化JSONObject,那么如下图所示,它首先会调用createInstance方法(在com.alibaba.fastjson.util.TypeUtils#castToJavaBean(java.util.Map<java.lang.String,java.lang.Object>, java.lang.Class, com.alibaba.fastjson.parser.ParserConfig)中),因此我们也重写该方法。

7a3dcff6a6db61eef7f8582bf675962d.png

写在最后

对于反序列化中的这些问题,大部分都能通过修改类成员模型及方法来解决,而其他域的数据,无法修改它的类模型,则只能用无侵入的方法来解决反序列化问题,对于一些复杂类,反序列化是困难重重的,但,办法总比问题多。

团队介绍

我们是淘系技术部营销工具团队,覆盖全域营销场景,拥有亿级用户规模、千万级商家规模。撒钱是我们的常规操作:百亿补贴、双11合伙人、央视春晚抽奖、全国消费券、这些具有影响力的营销产品可以让你既有业务scene,又有技术挑战。让商业营运高效而简单是我们的使命,懂数字商业、造技术引擎是我们的愿景。斗志昂扬?这里有广阔的平台。星辰大海,等待你来征服!

Java Fastjson 入门指南:从新手到高手
java专栏
01-05 1663
嘿,小伙伴们,今天我们来聊聊 Java 中非常实用的 JSON 处理库——Fastjson。想象一下,当你需要将 Java 对象转换成 JSON 格式以便在网络上传输时,如果没有 Fastjson,你可能需要手动拼接字符串,而有了 Fastjson,一切都变得简单起来,就像按下一个按钮就能启动汽车一样方便!JSON 数据处理是现代软件开发中非常重要的一环,它不仅能让我们的代码更加简洁高效,还能提高代码的可维护性和可读性。为了演示,这里假设你已经添加了 Fastjson 的依赖,我们可以开始编写代码了!
聊聊java面向对象核心知识点
禅与计算机程序设计的艺术
10-20 1132
API规范应用开发人员,SPI服务于框架拓展人员。API更多强调的软件组件之间的规则和接口的约定,用户可以通过继承实现不同的业务逻辑,调用方只需调用即可。SPI则是一种拓展,用户必须通过导入SPI得到内置功能亦或者自行实现。更多关于SPI的讲解可以参考笔者这篇文章:序列化是Java内置的一种将对象进行持久化的技术手段,即将对象按照规定规范转成字节数组保存到物理文件中,需要时将字节数组通过反序列化还原成对象。反序列化时JVM不仅会比对类路径和功能代码是否一致,还会比对判断类型是否一致,只有字节流中的。
FastJson自定义对象的反序列化逻辑
吾乃南华老仙的博客
12-15 1950
对要反序列化的类使用注解@JSONType,deserializer 属性表示自定义的反序列化对象 @JSONType(deserializer = BusinessDataDeserializer.class) public class BusinessData { private String id; private Stirng name; } 反序列化对象需要实现接口:ObjectDeserializer import com.alibaba.fastjson.parser.deseriali
fastjson的这些,你误入了没?
一猿小讲
06-25 7351
背景:最近 fastjson 被爆出新的远程代码执行漏洞之后,赶紧督促项目组快马加鞭去修改(吐槽:真改不动,架不住项目既多又老),鉴于项目不同,依赖的 fastjson 版本也不同,本次...
# FastJSON与Jackson序列化的区别——踩过的一百个
最新发布
欲穷java洞的博客
04-18 549
FastJSON和Jackson在处理Long类型时有不同的默认行为需要根据具体场景选择合适的序列化策略统一项目中的序列化配置很重要做好测试和日志记录。
Fastjson 反序列化漏洞
m0_63645854的博客
06-13 408
本文主要介绍了什么是fastjson反序列化漏洞,原理及防御
fastjson使用过程中的
热门推荐
zgzczzw的专栏
05-16 2万+
最近在工作中用到了fastjson,遇到了一些,在这里总结一下。 简介 首先,介绍一下fastjsonfastjson是由alibaba开源的一套json处理器。与其他json处理器(如Gson,Jackson等)和其他的Java对象序列化反序列化方式相比,有比较明显的性能优势。详情可以参加fastjson提供的benchmark。 benchmark for fastjson f
fastjson-你可能遇到的各种各样的奇葩问题
张小勇的博客
12-26 1万+
1.fastjson1.序列化是会多字段,少字段 2.有时不能序列化成功,但就是觉得一点问题都没有 2.原理分析1.bean中有getXXX方法时,从json到model会增加xxx属性,有setXXX方法是,从model到json会增加xxx的赋值, 2.在内部类中使用时,不加static变量会不能转换成功 3.private或protected变量中,缺少get或者set方法会影响转换,所以
分析FastJson 的最近爆出OOM内存溢出 bug
徐小冠
09-08 1万+
最近接到通知,需要进行升级 (阿里)fastjson 的maven 版本号, 最升级到指定的版本,需要测试发布再次验证 ,啊周末需要加班了. 为什么要进行升级呢,一接到这个通知,我就考虑中,以前是有通知了 不过没有这么急啊,后来其他事情耽搁了,就没有改. 之前一直网络上报出的问题是这样的: fastjson出现高危远程代码执行漏洞,该漏洞是fastjson于2017年爆出的远程...
深入理解 RPC 之序列化篇 --Kryo
ylx1066863710的博客
12-17 870
一年前,笔者刚刚接触 RPC 框架,从单体式应用向分布式应用的变革无疑是让人兴奋的,同时也对 RPC 背后到底做了哪些工作产生了兴趣,但其底层的设计对新手而言并不是很友好,其涉及的一些常用技术点都有一定的门槛。如传输层常常使用的 netty,之前完全没听过,想要学习它,需要掌握前置知识点 nio;协议层,包括了很多自定义的协议,而每个 RPC 框架的实现都有差异;代理层的动态代理技术,如 jdk 动态代理,虽然实战经验不多,但至少还算会用,而 cglib 则又有一个盲区;序列化层倒还算是众多层次中相对简单的
SpringBoot整合FastJson过程解析
p1830095583的博客
04-17 534
这篇文章主要介绍了SpringBoot整合FastJson过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 一、Maven依赖 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.33</version&
fastjson反序列化异常解决方案(内部类反序列化失败问题) java.lang.IllegalArgumentException: argument type mismatch
wskws的专栏
06-06 5520
fastjson内部类在反序列化内部类时失败 com.alibaba.fastjson.JSONException: create instance error java.lang.IllegalArgumentException: argument type mismatch
FastJson系列(版本升级问题)
dongying1751的博客
11-18 2554
昨天晚上又发现一起问题,问题导致了有一类消息全部丢失,写了紧急脚本去修复的问题。 发现问题: 问题是这样的,昨天测试在beta爆出了一个问题,是之前一个功能失效了,让查一下,然后我找时间查了下。发现beta日志一直在报错。报错mqType不存在,我看了下代码,是正常抛错。查询了下mq的日志,看到发出的消息格式。发现了问题所在,发出的消息格式是mqType,而接受的时候,mqType为下划线mq_type 所以导致识别不到mqtype直接抛错了; 调查问题: 前天晚上11-16发版的,我看了下代码日期
fastjson导致java退出_FastJson 的这些,千万不要误入啊!!
weixin_32561885的博客
02-28 1070
背景:最近 fastjson 被爆出新的远程代码执行漏洞之后,赶紧督促项目组快马加鞭去修改(吐槽:真改不动,架不住项目既多又老),鉴于项目不同,依赖的 fastjson 版本也不同,本次着重谈 fastjson 1.2.16 版本遇到的那些问题?1兼容性:低版本没问题,高版本抛异常一、抛问题。摘取部分代码片段,稍加改造如下。import com.alibaba.fastjson.JSONArray...
Fastjson踩“”记录和“深度”学习
阿里技术
02-10 3096
本文总结了Fastjson使用时的一些注意事项,并简单分析了Fastjson的底层工作原理。
浅谈Gson和fastjson使用中的
qq634506153的专栏
06-09 412
相信大家在代码编写中都用过Gson和fastjson吧,用来进行 Java对象和json字符串之间的转换。 本篇文章就主要介绍博主在工作中使用这两款工具时遇到的和对应的解决办法。 觉得有用的可以点个赞哈~ 1.前言 看了下我上一篇文章的发布时间,已然是两个月前了,这两个月工作确实很忙,加班也不少,空闲的时间都去研究别的技术了(后面会写文章),这次先用此篇文章记录我这段时间工作中遇到的,其实写文章的主要目的也是想记录一下问题,便于帮助他人也便于自己以后查看,废话不多说,开始说明问题~ 2.G.
使用fastJson记录汇总
Y
06-27 519
在使用fastjson工具把一个领域DTO对象转为 JSON 字符串,结果导致了非属性的 get 方法被调用了,此时延时加载所需的 bean 还没有注入,导致出现空指针。
FastJSON自定义序列化
worstezreal的博客
12-12 1万+
FastJSON自定义序列化 对接第三方机构调用接口的时候 , 经常遇到返回来的JSON格式非常复杂的情况 例如返回的报文为以下形式 , 如果解析不好的话, 不利于存取和阅读 { "key":"x", "value":"y" } 我们期望的报文格式应该为: { "x":"y" } 本文使用fastjsonObjectDeserializer接口实现自定义JSON序列化 假
java:支持更多日期格式的fastjson日期解析器(ObjectDeserializer)实现
10km的专栏
03-20 1358
Fastjson内置的日期类型解析器(com.alibaba.fastjson.serializer.DateCodec)只支持ISO8601以及SQL标准日期格式(),但日期格式的常用种类也不少:比如 Date.toString()输出的这样的格式。除非在使用注解方式指定日期格式。否则Fastjson不能解析这样的格式。
fastjson反序列化null
03-26
<think>好的,我现在需要解决fastjson反序列化时处理null值的问题。根据用户提供的参考资料,我需要先回顾一下相关的引用内容,看看有没有直接的方法或者示例。 首先,引用[3]提到使用Gson和fastjson时,可以通过过滤器将null序列化为空字符串。这里有一个ValueFilter的例子,展示了如何在序列化过程中将null转换为空字符串。用户的问题是关于反序列化的,但可能类似的机制也存在。不过,我需要确认fastjson是否在反序列化时有类似的处理方式。 接下来,引用[4]提到了实现ObjectSerializer接口来自定义序列化逻辑,特别是针对特定字段的处理。虽然这是关于序列化的,但或许反序列化也有对应的接口,比如ObjectDeserializer,可以用来处理null值。 用户的问题是如何在反序列化时处理null值。例如,当JSON中的某个字段为null时,希望将其转换为默认值或者特定的对象,而不是直接设置为null。可能需要自定义反序列化器。 我需要查阅fastjson的文档,看看是否有处理反序列化null的方法。根据引用[3]中的ValueFilter用于序列化,而反序列化可能需要使用ParseProcess相关的接口,比如使用Feature或自定义的反序列化器。 另外,引用[2]提到fastjson反序列化时会使用@type指定任意类,这说明反序列化的过程允许指定类型,可能涉及更复杂的处理。但用户的问题是关于null处理的,可能需要更基础的配置。 可能的解决方案包括: 1. 使用fastjson的Feature配置,例如禁用某些特性或启用对null的处理。 2. 自定义反序列化器,当遇到null值时,返回特定的默认值。 3. 在目标类的setter方法中进行处理,将null转换为默认值。 根据引用[4],实现ObjectSerializer接口来处理序列化,类似地,实现ObjectDeserializer接口可能用于反序列化。因此,可以尝试为需要处理null的字段编写自定义的反序列化器,检查值是否为null,并替换为默认值。 例如,假设有一个字段money,在反序列化时如果为null,希望设为0。可以创建一个自定义的deserializer,在deserialize方法中判断json值是否为null,并返回0。 此外,可能还需要在反序列化时通过注解指定使用自定义的deserializer,比如使用@JSONField注解的deserializeUsing属性。 需要验证这些方法是否可行,并查看是否有相关的示例或文档支持。同时,确保在反序列化过程中正确处理null,避免出现空指针异常或其他错误。 总结步骤: 1. 确定需要处理null的字段。 2. 为这些字段创建自定义的反序列化器,实现ObjectDeserializer接口。 3. 在反序列化时,使用ParseConfig注册这些自定义的反序列化器。 4. 在目标类中使用注解指定使用自定义的反序列化器。 这样,当fastjson遇到这些字段的null值时,会调用自定义的反序列化器来处理,返回预设的默认值。</think>### Fastjson反序列化null值的处理方法 针对Fastjson反序列化过程中处理`null`值的问题,可通过以下两种方法实现: --- #### **方法1:全局过滤器处理(序列化与反序列化联动)** 若需在反序列化时将`null`转换为默认值,需结合序列化阶段的特殊处理。例如,序列化时通过`ValueFilter`将`null`替换为空字符串,反序列化时再将空字符串解析为默认值: ```java // 序列化配置 public class NullToEmptyFilter implements ValueFilter { @Override public Object process(Object object, String name, Object value) { return value == null ? "" : value; } } // 反序列化时自定义处理 public class CustomDeserializer implements ObjectDeserializer { public <T> T deserialze(DefaultJSONParser parser, Type type, Object fieldName) { Object value = parser.parse(); // 原始解析 if ("".equals(value)) { // 检测空字符串 return (T) "default"; // 返回默认值 } return (T) value; } } // 注册反序列化器 ParseConfig.getGlobalInstance().putDeserializer(String.class, new CustomDeserializer()); ``` --- #### **方法2:字段级注解定制** 通过`@JSONField`注解直接指定字段的反序列化逻辑: ```java public class MyModel { @JSONField(deserializeUsing = NullToDefaultDeserializer.class) private String name; } public class NullToDefaultDeserializer implements ObjectDeserializer { public <T> T deserialze(DefaultJSONParser parser, Type type, Object fieldName) { if (parser.lexer.token() == JSONToken.LITERAL_STRING && "".equals(parser.parse())) { return (T) "anonymous"; // 空字符串转为默认值 } return (T) parser.parse(); } } ``` --- #### **注意事项** 1. **联动手动处理**:若JSON输入中直接包含`null`而非空字符串,需在反序列化前预处理字符串替换`null`为特定标识[^3]。 2. **默认值类型**:需根据字段类型(如数值、字符串、对象)适配默认值,避免类型转换异常。 3. **性能影响**:全局过滤器可能增加解析耗时,建议优先使用字段级注解优化[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值