解决Dubbo在反序列化时报错

最新推荐文章于 2025-11-10 09:18:31 发布
原创 最新推荐文章于 2025-11-10 09:18:31 发布 · 7.9k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#dubbo #spring boot #json #微服务 #java #后端

本文讲述了Dubbo在反序列化时遇到的IOException,原因在于类检查机制默认为STRICT,禁止了未在白名单内的类。提供了将检查模式改为WARN或DISABLE以及如何添加类到白名单的解决方案。

服务在反序列化时报错:java.io.IOException: org.apache.dubbo.common.serialize.SerializationException: java.lang.IllegalArgumentException: [Serialization Security] Serialized class [类名] is not in allow list. Current mode is STRICT, will disallow to deserialize it by default. Please add it into security/serialize.allowlist or follow FAQ to configure it.
参考官网关于类检查机制的说明
dubbo类检查机制
我使用的版本默认的检查模式为STRICT,禁止反序列化所有不在允许序列化列表(白名单)中的类。
共有三个模式:STRICT 严格检查,WARN 告警,DISABLE 禁用

解决方法

有两种解决方法

  1. 将检查模式改为较为宽松的级别:可以通过配置dubbo.application.serialize-check-status=WARN或者dubbo.application.serialize-check-status=DISABLE
  2. 将要反序列化的类加入到白名单:在资源目录(resource)下定义security/serialize.allowlist文件,并将类的全名写入:
# security/serialize.allowlist
io.dubbo.test
GUILTYxc
关注
错误提示'with' is not allowed in strict mode.完美解决
想不出一个好的标题,就用这个吧
04-26 1万+
今天将很久以前的一个项目导入myeclipse中,然后webroot文件夹报错了,控制台显示如下: 关于with关键字,他是将其代码的作用于限定在一定范围内,而在js的严格模式下是不允许使用该关键字的,原因在于其性能即语义问题,这一点网上有详细说明~~ 那就见方抓药呗,找到对应js文件,查看其内容: 这里的onchange及onblur都是对象obj的属性,这样写方便调用同一对象的多...
Java基础知识 34】Java序列化与反序列化详解
学Java,找哪吒
11-27 6702
Java进阶实战系列,打造精品专栏。
我去,又遇到 Dubbo 反序列化失败的坑!!
Java技术栈,分享最主流的Java技术
10-25 3627
Java技术栈www.javastack.cn关注阅读更多优质文章前言今天下午,当我经过一个小的奋”键“疾”码“,准备好好的审查一下(摸鱼)自己写的代码,经过一段间审查(摸的差不多了...
dubbo序列化问题之 Serialized class cn.demo.vo.testDto is not in allow list. Current mode is `STRICT`
TANG256tang的博客
02-08 3542
dubbo序列化问题之 Serialized class cn.demo.vo.testDto is not in allow list. Current mode is `STRICT`
【030】Dubbo3从0到1系列之dubbo-serialization模块
最新发布
编程技术圈
11-10 1589
Dubbo框架通过dubbo-serialization模块实现了序列化层的抽象,核心接口Serialization采用SPI机制支持多种序列化方式。该模块定义了序列化/反序列化的统一接口,默认使用Hessian2实现,通过@SPI和@Adaptive注解实现灵活扩展和动态适配。Serialization接口提供了获取序列化标识、内容类型以及序列化/反序列化操作的方法,支持线程安全和可插拔配置。
DUBBO源码学习(六)服务的调用过程
lisyee的博客
09-17 757
文章目录一、服务调用的入口二、服务的请求过程三、dubbo的编码与解码四、服务的响应 DUBBO源码学习(一)spi机制 DUBBO源码学习(二)注册中心源码解析 DUBBO源码学习(三)v2.7.8-服务的暴露过程 DUBBO源码学习(四)服务引用的过程 DUBBO源码学习(五)负载均衡策略 一、服务调用的入口 通过之前的服务引用的分析,可以知道服务在引用的候最终会生成一个invoker,最终invoker的执行我们会通过InvokerInvocationHandler#invoker: public
泛型引起的dubbo序列化报错
starandsea的专栏
10-31 242
Dubbo 框架在应用启动,会自动扫描一些特定的路径和组件,尝试将遇到的类添加到初始的序列化安全允许列表中。解决方法是将dubbo方法定义改为:Response<xxxDto> detail(Long id);定义指定泛型具体的类型,就能被dubbo框架扫描到,自动加入到allowlist。而返回为 Response<xxxDto>,那么xxxDto就会出现序列化报错。特别是那些被 @Service、@Component 等注解的类及其依赖类型。Dubbo 自身的 API、通用类型等会被自动包含。
java.lang.NullPointerException出现的几种原因及解决方案
热门推荐
天天的博客
06-21 17万+
java.lang.NullPointerException(空指针异常)是Java开发中常见错误,多因对null对象执行操作所致。常见原因包括:调用null对象的方法或属性、将null作为数组访问、null参与自动拆箱、集合未初始化就操作等。 解决方案涵盖:调用前判空(如if语句、Objects.requireNonNull)、初始化对象与集合、使用Optional类规避风险、借助IDE调试定位null源头等。掌握其成因与解决办法,能有效提升代码健壮性,减少程序崩溃隐患,是Java开发者必备技能。
升级Dubbo3.2.6遇到的一个异常反序列化问题
cloudlu的专栏
12-18 2317
跟踪了半天,首先发现,如果在dubbo接口上显示声明抛出的异常的话,可以正常运行代码。跟踪源码发现,DecodeableRpcResult反序列化,如果没有显示声明抛出异常的的话,反序列化的对象是个Hashmap,两种情况下入参的二进制流是一样的。继续跟踪,发现反序列化候使用的是sticky模式,至此差不多清楚了。升级后新版本dubbo反序列化采用严格模式,接口上未声明的以及未涉及到的类都不会正常序列化。google和百度搜了半天,没发现和我一样的问题,有一篇类似的文章是早期版本的。
Dubbo序列化错误
silentcoo1的博客
08-05 1768
SpringBoot在application.yml中配置如下。
dubbo服务端方法增加字段导致消费端反序列化失败
sunny8zhou的专栏
09-02 1138
前几天在实现一个新功能,在dubbo provider提供的SDK中某个方法的返回对象增加了一个字段,照理consumer不使用的候无需升级也不受影响,结果provider上线后发现未升级的consumer出现反序列失败的异常,这就让我一脸懵B了,于是我赶紧去排查一遍。此consumer A由于没用到 userInfo,因此继续使用1.0版本。
Beanutils造成dubbo反序列化失败?
不一样的科技宅
09-15 514
今天下午,当我经过一个小的奋”键“疾”码“,准备好好的审查一下(摸鱼)自己写的代码,经过一段间审查(摸的差不多了,该下班了),得出一个结论我写的代码很优雅、精简。所以大手一挥提交代码,并在API管理系统上将xxx接口点了个完成。准备收拾东西走人了准点下班。然而事与愿违,没过多久前端大哥就@我了,说xxx接口有问题,麻烦处理一下。内心第一反应(你丫的参数传错了吧)卑微的我只能默默的回个,好的、麻烦把参数给我一下,我这边检查一下[微笑脸]。
Dubbo对匿名内部类不能序列化原因分析及问题解决
snowing
09-20 1233
之前为了图方便,对DTO采用匿名内部类的初始化方式之{{}}写法,最终导致了运行异常,我们还是先看一下详细的console日志吧,server表示服务提供者,client表示服务消费者: 先看看代码是怎么写的: public class TestDTO implements Serializable { private String message; public String getMessage() { return message; } pu
protostuff序列化集合的问题(反序列化java.util.ConcurrentModificationException)
不能说的秘密的博客
06-10 6112
之前写过一篇关于JDK原始支持的Serializable接口序列化与Google的Protostuff序列化两种技术的比较(http://blog.csdn.net/canot/article/details/53750443)。Protostuff序列化的性能,空间利用率远高于Serializable接口。基于这些原因,最近在做 MyBatis开发的过程中使用二级缓存的候就使用了Protost
Dubbo -- dubbo高级特性(序列化 地址缓存 超与重试机制 多版本:灰度发布 负载均衡 集群容错策略 服务降级)
天行健 君子以自强不息,地势坤 君子以厚德载物。
04-11 1128
Dubbo -- dubbo高级特性(序列化 地址缓存 超与重试机制 多版本:灰度发布 负载均衡 集群容错策略 服务降级)
java序列化和反序列化
程序员一博
08-17 905
计算机中最基本的存储单位是字节 Byte, 任何数据最终都会被编码成字节序列,1byte=8bit, 一个字节等于八位,每一位都是用0 和 1 组成。在内存中,数据就是以 0 和 1 组成的二进制形式存储的,而字节数据在传输(如网络传输)或读写(如文件操作、数据库操作),通常以 "流"(的形式处理(即按顺序逐个字节传输 / 读写),这个流称为二进制流 (注: IO 支持的数据格式就是字节数组)。 我们平写程序的侯,如果要把运行中的 java 对象保存到数据库、文件或者通过网络传输,就需要把这些对象转
记一次dubbo 反序列化问题-Fail to decode request due to: RpcInvocation
不准动我的小老弟
05-22 1万+
记一次dubbo 反序列化问题 Fail to decode request due to: RpcInvocation 接口&类先行 Api定义层 /** * 抽象类 注意这是抽象类 */ public abstract class AbstractModel implements Serializable { private String name; // getter setter toString } /** * rpc 接口定义 */ public interf
dubbo序列化异常
hero_hope的博客
12-17 2115
dubbo序列化异常 1. 服务返回值类型没有实现序列化接口, 会抛出异常 2. 服务消费者传参给服务提供者, 参数类型没有实现序列化接口, 也会抛出异常, 最经典是就是, 服务消费者传HttpServletRequest类型的参数, 会抛出Serialized class org.apache.catalina.connector.RequestFacade must implement ja...
Dubbo】序列化异常—— com.esotericsoftware.kryo.KryoException: Buffer underflow
一个被IT搞的
01-13 5823
Dubbo服务通常依赖一个jar包来表示服务签名,其中包含了服务的接口定义。 服务的提供者(服务端)需实现这些接口; 服务的调用者(客户端)可以通过这些接口调用服务。 问题 此文提到的异常 “com.esotericsoftware.kryo.KryoException: Buffer underflow” 通常是因为服务端和客户端持有的jar包版本号相同,但实际内容不同,导致序列化异常。...
dubbo 报错:99-0
05-21
### 关于 Dubbo 框架错误码 99-0 的分析 Dubbo 是一个高性能的 Java 分布式服务框架,广泛应用于微服务架构中。然而,在实际使用过程中可能会遇到各种异常情况,其中 `error code 99-0` 是一种常见的运行错误。 #### 错误描述 根据已知的信息以及社区反馈,`error code 99-0` 通常表示客户端发送了一个请求到服务器端,但由于某些原因未能成功处理该请求并返回结果。具体表现为: 1. **超问题**:如果消费者等待提供者响应的间超过了配置的最大超间,则会触发此错误[^1]。 2. **网络连接中断**:当网络不稳定或者突然断开也可能引发此类错误[^2]。 3. **序列化/反序列化失败**:在传输对象的过程中发生编码或解码错误也会导致类似的错误提示[^3]。 #### 解决方案 针对以上可能的原因可以采取以下措施来排查和解决问题: ##### 配置合理的超设置 确保 Consumer 和 Provider 双方都设置了恰当的服务调用超长参数(如 timeout),并且这个值应该基于业务需求合理调整而不是简单地增大它直到不再抛出异常为止;同还需要注意的是不同版本之间可能存在默认行为差异所以最好显式指定这些属性以免意外情况发生[^1]。 ```properties dubbo.consumer.timeout=5000 # 单位毫秒,默认为一分钟即60*1000ms ``` ##### 加强网络稳定性保障机制 通过引入心跳检测功能定期验证链路状态从而及发现潜在隐患并作出相应补偿动作比如重新建立链接等操作以减少因短暂失联造成的负面影响[^2]。 另外还可以考虑部署高可用集群模式进一步提升系统的健壮性和容灾能力防止单点故障影响整体性能表现。 ##### 处理好自定义POJO类中的字段类型兼容性问题 由于双方使用的JDK版本或者其他依赖库存在细微差别可能导致即使表面上看起来相同的Java Bean实际上并不完全一致进而引起无法正常完成消息转换过程的情况因此建议开发者仔细核对自己项目里涉及到远程通信的所有实体结构确保它们能够在任意环境下都能被正确解析出来而不会因为缺少某个getter/setter方法或者是父类继承关系改变等因素干扰正常的流程执行路径[^3]. 最后提醒一点就是每当修改了任何一方的相关定义之后都需要同步更新另一侧对应的实现部分这样才能保持一致性避免不必要的麻烦出现. --- ### 示例代码片段展示如何捕获并记录特定类型的异常以便后续诊断分析工作开展更加顺利高效: ```java try { // 正常业务逻辑调用... } catch (RemotingException e) { if ("99-0".equals(e.getCode())) { log.error("Detected ErrorCode 99-0 during invocation.", e); // 自定义重试策略或其他补救措施... } } ``` ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值